前期准備:
靶機地址:https://www.vulnhub.com/entry/noob-1,746/
kali攻擊機ip:192.168.11.129
靶機地址:192.168.11.179
一、信息收集
1.使用nmap對目標靶機進行掃描
發現開放了21、80、55077的ssh服務端口。
2.ftp端口
先查看一下ftp端口,掃描出來有文件:
查看一下 cred.txt 和 welcome 文件:
解碼得:champ:password
在看一下上級目錄:
發現訪問不到。
3.80端口
查看80端口:
是個登錄界面,使用上面的密碼試一下:
登錄進來了,查看一下網站信息:
Wapplayzer信息:
點擊 About Us 會下載一個文件:
二、信息分析
把文件下載下來看一下:
發現是兩個圖片和一個文件,文件中說文件名很有趣,看一下圖片:
用 binwalk 查看一下圖片中藏有什么:
沒有發現什么,掃描一下網站的目錄,看有沒有什么發現:
也沒發現可疑文件,那就再回到那兩張圖片,這次利用 steghide 工具看一下:
發現 funny.bmp 圖片中有隱寫,密碼推測的是另一個的文件名 “sudo” ,有個 user.txt 文件,提取隱藏的文件:
steghide extract -sf funny.bmp
發現一串字符: jgs:guvf bar vf n fvzcyr bar
發現 funny.jpg 圖片中也有隱寫,不需要密碼:
是個 hint.py 的文件,提取出來:
發現這里有提示,根據上面發現的字符串推測是rot加密,是rot13 。凱撒13解密也能解出來:
解得:wtf:this one is a simple one
一開始沒明白這個提示有什么用,后來想着試試登錄ssh,結果可以:
進入系統后瀏覽一遍文件,發現在 Downloads 文件夾下有個flag:
VGhlIGZsYWcgaXMgdGhlIGVuY29kZWQgc3RyaW5nIGl0c2VsZg
base64解得:
The flag is the encoded string itsel
說flag是編碼字符串本身。這應該就是第一個flag。
另外在 Documents 文件夾下發現一個backup.sh腳本,分析了一下發現有個用戶名和密碼:
n00b:aw3s0m3p@$$w0rd
切換成 n00b 用戶:
三、提權
查看下權限:
發現可以用 nano 編輯器,nano 編輯器允許二進制文件以超級用戶身份運行sudo,它不會放棄提升的權限,並可用於訪問文件系統、升級或維護特權訪問。 https://gtfobins.github.io/gtfobins/nano/#sudo
- sudo nano
- ctrl+r ,Ctrl+x
- 輸入
reset; sh 1>&0 2>&0
得到 root 權限,查看flag,在 /root 目錄下:
完成。