Vulnhub 靶场 DRIFTINGBLUES: 4

前期准备：

靶机地址：https://www.vulnhub.com/entry/driftingblues-4,661/

kali攻击机ip：192.168.11.128
靶机ip：192.168.11.161

一、信息收集

1.使用nmap对目标靶机进行扫描

开放了21、22、80端口。

2. 21端口

匿名登陆失败。

3. 80端口

查看源码：

发现一串 base64：

还是一段一段加密的，最后解密结果为：

go back intruder!!! tight security drippin i hope you're an employee /imfuckingmad.txt

提示了一个 /imfuckingmad.txt 文件，访问一下：

是 Brainfuck 编码，解码一下：

man we are a tech company and still getting hacked??? what the shit??? enough is enough!!! 
#
##
···
##
#
/iTiS3Cr3TbiTCh.png

又得到一个图片的路劲，访问一下：

是个二维码，扫一下：

扫出来一个图片地址，访问一下：

得到四个用户名：luther、gary、hubert、clark。尝试暴破一下 ftp：

hubert:john316

ftp登录：

只有 sync_log 有东西，下载到本地查看一下：

是 sync（linux同步命令，含义为迫使缓冲块数据立即写盘并更新超级块），那我尝试往 ftp 中的 hubert 文件中写入 ssh 密钥，猜测应该就会同步到 hubert 用户的家目录中，现在 ftp 中的 hubert 目录下创建 .ssh 目录：

制作ssh密钥：

上传到 ftp 的 hubert/.ssh 目录下：

利用密钥连接 ssh：

连接成功，查看 flag：

二、提权

1.方法一

查看SUID文件发现：

运行一下 getinfo：

类似于 ip a 命令，下载下来这个二进制文件 IDA 查看一下：

确实再执行 ip a 命令，那可以写一个名为 ip 的shell：

得到 root，查看 flag：

2.方法二

hubert 加目录下有个python脚本：

用 pspy64 监听进程发现 root 会定时运行它：

因为权限较高，那我们可以直接删除掉这个文件，重新写一个同名的shell文件：

nc 监听，一会就连上了：

完成。

标签：ftp,查看,ip,DRIFTINGBLUES,Vulnhub,hubert,一下,靶场,ssh
来源： https://www.cnblogs.com/sainet/p/16313938.html