一、信息收集
扫描目标ip
扫描开放端口情况
扫描目录情况,个人觉得dirsearch比较好用
二、信息利用
弱口令爆破22端口的ssh,看运气吧
访问80端口,查看一下有没有可利用的cms管理系统
发现有两个邮件信息
访问扫描出的目录文件,这些文件语言脚本都没啥用
简单的浏览 下,再去80端口看看,查看下网站源码
base64解码看看
是个文件名,访问下看看
全是0ok,应该是个加密方式,搜索解密试试看
翻译//伙计,我知道你是新来的但你应该知道怎么用主机文件到达我们的秘密地点。埃里克
可以知道这是本地的dns解析,修改/etc/host文件
访问网页没有变化
既然ip对应的dns被修改了,格式是主域名,扫描下子域名看看
记录子域名,写入到hosts文件内
扫描此域名的目录文件
有个爬虫规则文件robots.txt
有个不允许爬取的文件,访问下
//提示信息给出了ssh的密码为1mw4ckyyucky(12位)加上一个数字
三、漏洞攻击
crunch命令生成字典,%表示任意一个数字
字典有了,用户名可能是上面的两个邮箱的用户。hydra爆破ssh登录
爆破出ssh用户:eric 密码 1mw4ckyyucky6
ssh链接eric用户
找到flag1
四、提权
sudo与suid提权都不成功
查看有哪些文件可以利用,系统文件/var
发现备份文件中会sudo执行文件 /tmp/emergency。把提权命令写在文件中,root权限执行就ok了。
/bin/bash 的shell环境拷贝到getshell文件中,并赋予getshell文件suid权限
back.sh执行备份完成,生成了getshell文件,再执行getshell文件就获得root权限
获得flag2,完成。