Vulnhub靶机:driftingblues 1

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:driftingblues1(10.0.2.17)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/driftingblues-1,625/

二、信息收集

使用nmap主机发现靶机ip:10.0.2.17

在这里插入图片描述

使用nmap端口扫描发现靶机开放端口:22、80

在这里插入图片描述

打开网站,使用dirsearch工具爆破目录,未发现敏感目录。

查看网站源码,发现一个使用base64加密的隐藏数据,解密为/noteforkingfish.txt

 L25vdGVmb3JraW5nZmlzaC50eHQ= 

在这里插入图片描述

访问/noteforkingfish.txt可以看到一个加密的数据,使用Ook!编码。

在这里插入图片描述

解密得到提示:如何使用host文件到达我们的秘密位置,解密网站: splitbrain.org

my man, i know you are new but you should know how to use host file to reach our secret location. -eric

三、漏洞利用

根据提示修改hosts文件,网站里唯一出现的域名添加上去

10.0.2.17      driftingblues.box

在这里插入图片描述

再次爆破目录,使用dirb和dirsearch工具没有爆出东西来,怀疑是字典的问题

这些都爆不出来
/usr/share/wordlists/dirb/big.txt
/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt
/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

看了一下wp,好吧是我肤浅了,有域名可以爆破子域名,使用gobuster工具进行爆破。

使用vhost模式,测试目的IP有哪些对应的服务域名/虚拟主机,需要构造爆破字典

#构造字典脚本
file=open('/usr/share/dnsenum/dns.txt')
dataMat=[]  
for line in file.readlines():
    vhost_line=line.strip('\n')+'.driftingblues.box\n'
    dataMat.append(vhost_line)
with open('/root/桌面/dnsdict.txt', 'w') as f:
    f.writelines(dataMat)

使用gobuster进行爆破,发现响应码为200的子域名,爆破成功

gobuster vhost -u driftingblues.box -w /media/sf_kali_share/dnsdict.txt

在这里插入图片描述

将爆破出来的子域名添加到/etc/hosts文件

10.0.2.17      test.driftingblues.box

浏览器访问子域名

在这里插入图片描述

使用dirsearch工具爆破目录,发现存在robots.txt文件,访问该文件可以看到/ssh_cred.txt不允许爬虫访问

在这里插入图片描述
在这里插入图片描述

访问/ssh_cred.txt得到密码提示:1mw4ckyyucky后面加一个数字

在这里插入图片描述

可以构造字典使用hydra工具爆破ssh的密码,用户名字典内容为:eric、sheryl、db

hydra -l use.txt -P pass.txt 10.0.2.17 ssh

在这里插入图片描述

爆破成功获得用户名和密码:eric\1mw4ckyyucky6

登录ssh

在这里插入图片描述

四、提权

使用命令sudo -l查看有什么特权命令,发现没有

查看具有root权限的文件,看看有什么可以利用的,发现/usr/lib/policykit-1/polkit-agent-helper-1可以利用cve-2021-4034进行提权,但靶机没有gcc环境,只能作罢

在这里插入图片描述

在靶机到处翻一番查看其他地方有没有可以利用的文件

发现在/var/backups文件夹下有backup.sh文件,该文件在/tmp创建backip.zip备份文件,并且backip.zip文件是root权限的文件

在这里插入图片描述
在这里插入图片描述

尝试执行backup.sh失败,权限不够,把整个靶机都翻了一下,暂时没有发现其他的可利用的文件

瞄了一眼wp,思路是发现backup.zip的创建时间在变化,猜测靶机有计划任务每隔一段时间执行backup.sh文件,可以根据backup.sh文件会执行sudo /tmp/emergency命令,在tmp文件夹下创建一个emergency文件进行提权

在这里插入图片描述
在这里插入图片描述

创建一个emergency提权文件,等待片刻,getroot文件被创建,执行getroot文件提权成功

echo 'cp /bin/bash /tmp/getroot;chmod +s /tmp/getroot' > /tmp/emergency
chmod +x emergency
./getroot -p

其中:

chmod +s让普通用户临时拥有该文件的属主的执行权限

-p参数是因为 shell 启动时有效用户(组)ID 不等于真实用户(组)ID,避免重置有效用户 ID

在这里插入图片描述
在这里插入图片描述

也可以将eric用户加入sudo组,然后sudo提权

echo "eric ALL=(ALL:ALL) ALL" >> /etc/sudoers

获取flag

在这里插入图片描述
在这里插入图片描述

参考链接:vulnhub靶机DriftingBlues: 1渗透笔记_/noteforkingfish.txt-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/316042.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

redis夯实之路-主从复制详解

Redis中可以通过执行slaveof命令或者设置slaveof选项,让一个服务器区复制另一个服务器,被复制的为主服务器,复制的为从服务器。 复制 Redis中可以通过执行slaveof命令或者设置slaveof选项,让一个服务器区复制另一个服务器&#…

实录分享 | 央企大数据平台架构发展趋势与应用场景的介绍

分享嘉宾: 孟子涵-中国华能集团信息中心平台架构师 2021年华能就与Alluxio建立了合作,共同写了整个华能统一纳管的架构方案。这个方案我认为是现在我们在央企里边比较核心的一套体系,能让全集团所有我们认为重要的数字化资源实现真正的统一集…

什么是网络数据抓取?有什么好用的数据抓取工具?

一、什么是网络数据抓取 网络数据抓取(Web Scraping)是指采用技术手段从大量网页中提取结构化和非结构化信息,按照一定规则和筛选标准进行数据处理,并保存到结构化数据库中的过程。目前网络数据抓取采用的技术主要是对垂直搜索引…

U盘用完到底能不能直接拔?一篇搞懂

有没有人懂这种情况!! 传输完文件之后,觉得大功告成 以十分帅气的姿势 and 迅雷不及掩耳之势 “咻”地一下把U盘直接给……拔掉了…… 然后瞬间想起没有安全退出,陷入深深的懊悔…… (甚至还要再花时间&#xff0…

使用 EmbeddingBag 和 Embedding 完成词嵌入

🍨 本文为[🔗365天深度学习训练营学习记录博客\n🍦 参考文章:365天深度学习训练营\n🍖 原作者:[K同学啊 | 接辅导、项目定制]\n🚀 文章来源:[K同学的学习圈子](https://www.yuque.co…

【开源】基于JAVA语言的民宿预定管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 用例设计2.2 功能设计2.2.1 租客角色2.2.2 房主角色2.2.3 系统管理员角色 三、系统展示四、核心代码4.1 查询民宿4.2 新增民宿4.3 新增民宿评价4.4 查询留言4.5 新增民宿订单 五、免责说明 一、摘要 1.1 项目介绍 基于…

Sectigo有几种泛域名SSL证书买一年送一个月

Sectigo是一家知名的数字证书颁发机构,提供了很多种类型的SSL证书,可以满足不同用户的需求。其中,泛域名SSL证书是一种常见的证书类型,可以同时保护主域名以及主域名下所有子域名。今天就随SSL盾小编了解Sectigo旗下有几种泛域名S…

【深入挖掘Java技术】「源码原理体系」盲点问题解析之HashMap工作原理全揭秘(上)

HashMap工作原理全揭秘 — 核心源码解析 知识盲点概念介绍数据结构数组链表数组VS链表哈希表不同JVM版本HashMap的展现形式 HashMap VS HashTable特性区别对比 hashcodehashCode的作用equals方法和hashcode的关系key为null怎么办执行步骤 核心参数容量探讨负载因子探讨加载因子…

JVM基础(11)——G1垃圾回收器

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO 联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬 学习必须往深处挖&…

用vcpkg安装openssl

用vcpkg安装openssl 背景解决方案1 安装vcpkg1.1 下载代码组件1.1 生成vcpkg.exe1.2 安装openssl 2 配置环境变量3 重新编译运行,正常通过 背景 最近学习Rust的时候,有个依赖需要用到Openssl,但是cargo编译的时候提示如下信息: …

Unity 编辑器篇|(四)编辑器拓展GUI类 (全面总结 | 建议收藏)

目录 1. 前言2. 参数2.1 静态变量2.2 静态函数2.3 委托 3. 功能3.1 按钮:Button、RepeatButton3.2 文本:Label 、TextField 、TextArea 、PasswordField3.3 滑动条:HorizontalScrollbar 、VerticalScrollbar3.4 滑条:VerticalSlid…

【python】08.面向对象编程基础

面向对象编程基础 活在当下的程序员应该都听过"面向对象编程"一词,也经常有人问能不能用一句话解释下什么是"面向对象编程",我们先来看看比较正式的说法。 "把一组数据结构和处理它们的方法组成对象(object&#…

Spark Doris Connector 可以支持通过 Spark 读取 Doris 数据类型不兼容报错解决

1、版本介绍: doris版本: 1.2.8Spark Connector for Apache Doris 版本: spark-doris-connector-3.3_2.12-1.3.0.jar:1.3.0-SNAPSHOTspark版本:spark-3.3.1 2、Spark Doris Connector Spark Doris Connector - Apache Doris 目…

FLUKE 8588A数字多用表

181/2461/8938产品概述: 福禄克校准8588A参考万用表是世界上最稳定的数字化万用表。这款长量程高精度参考万用表专为校准实验室设计,具有出色的精度和长期稳定性,测量范围广泛,具有直观的用户界面和彩色显示屏。8588A具有超过12种…

使用Mixtral-offloading在消费级硬件上运行Mixtral-8x7B

Mixtral-8x7B是最好的开放大型语言模型(LLM)之一,但它是一个具有46.7B参数的庞大模型。即使量化为4位,该模型也无法在消费级GPU上完全加载(例如,24 GB VRAM是不够的)。 Mixtral-8x7B是混合专家(MoE)。它由8个专家子网组成,每个子…

阿尔泰科技——PXIe8912/8914/8916高速数据采集卡

阿尔泰科技PXIe8912/8914/8916高速数据采集卡是2通道同步采样数字化仪,专为输入信号高达 100M 的高频和高动态范围的信号而设计。 与Labview无缝连接,提供图形化API函数。模拟输入范围可以通过软件编程设置为1V 或者5V。配备了容量高达 2GB的板载内存。…

硬盘重新分区怎么恢复分区之前的文件?

分区是常见的故障,通常由多种原因引起。一方面,硬盘老化或者受到损坏可能会导致分区表出现问题;另一方面,用户误操作,如格式化或分区不当,也可能导致分区丢失。针对此问题,解决方法包括使用专业…

Python——猜猜心里的数字(2)

1、数字随机产生,范围1-10 2、有三次机会猜数字通过三层嵌套 3、每次猜不中,提示大小 import random numrandom.randint(1,10) guess_num int(input("请输入您猜测的值:")) if guess_numnum:print("恭喜你,第一次…

基于虚拟机安装centos且远程连接

基于虚拟机安装centos且远程连接 1、安装虚拟机 目前市面上的虚拟机种类有很多,我们可以选择自己熟悉的虚拟机进行安装,我在这里用的虚拟机是VMware。具体的安装过程很简单,一直点击下一步就可以了。因为VMware虚拟机需要激活,所…

【机器学习 西瓜书】期末复习笔记整理

一些杂点: 测试集如何归一化? —— 不是用测试集的均值和标准差,而是用训练集的! 机器学习: 对计算机一部分数据进行学习,然后对另外一些数据进行预测与判断。 参考计算例题: 机器学习【期末复习…