二层探针找到目标主机ip

nmap信息收集

了解到开了ftp,ssh,http服务,三者都需要账号密码登录,但是目前没有束手无策

目录扫描一下,只找到了登录界面的文件名为go.php,数据包内没有明显的信息特征

尝试爆破账号密码,但是后续接收到的响应越来越少,可能是有策略限制

出现梳理目前已知信息,看到nmap扫描的ftp中出现两个anonymous ftp login allowed,经过查询得知是允许匿名用户登录,且可以下载这两个文件

得知其中的数据是base64加密,解码得到数据

该账号密码可以登录至后台,不能登录到靶机和ftp

鼠标移动到about us后会有.rar压缩文件,下载

解压得到两图片和一个sudo文件

文件内容并没有特殊代码,提示我们这两个图片文件有东西

搜集资料得知binwark 是专门扫描嵌入式文件类型的工具和Steghide 是一个可以将文件隐写到图片或者音频的工具。binwalk是内置,Steghide可以通过apt下载。

binwalk并没有查到有用信息,使用Steghide时需要密钥,但是并没有给我们只有一个sudo文件便猜测是它,结果猜对了一半,bmp文件是这个,不清楚jpg文件

将bmp的文件分离出来

不清楚是什么,以为是解压的什么命令,结果是凯撒加密,搜索guvf出来的,应该就是这个

我们还需要知道字母的偏移量,从1到25,暴力破解了

意思是这个bmp的隐藏文件是空的,wtf可能是jpg的密钥,提示我们去看那个

但是不对,从前面知道有welcome和cred文件,但都不是密钥

最后弄了半天成了乌龙,居然直接回车没有密码

分离出来的py文件

后面知道了应该先把这个文件先弄出来,提示我们是凯撒加密,结果莫名其妙的猜到是凯撒密码提前解决出来了。

如果这样分析的话,刚刚的这个文件还重要,不只是字面意思那么简单,既然是user.txt,联想到靶机界面是wtf login,尝试用其登录

xshell成功登录上了

上传提权脚本执行

但是出现靶机没有gcc编译器情况,且不能直接执行上传的exp。结果网上通过sudo提权,就这么水灵灵的提权成功了。。。。

并不是所有都可以用sudo提权,这是管理员配置不当,用户加入了sudo组,可以通过id命令查看,可以查看/etc/group文件查看sudo组成员,可以查看各登录用户家目录隐藏文件,寻找.sudo_as_admin_seccessful文件,证实sudo成功使用,可以通过查看/etc/passwd文件找到登录用户