【Vulnhub靶场】DRIPPING BLUES: 1

环境准备

下载靶机,导入到vmware里面,这应该不用教了吧
这道题一开始并没有给我们靶机的ip地址,所以我们要自己探测一下,使用命令可以探测IP地址

arp-scan -l

在这里插入图片描述
攻击机IP地址为:192.168.2.15
靶机IP地址为:192.168.2.16

渗透开始

首先使用nmap扫描靶机
在这里插入图片描述
发现靶机开放了ftp,ssh与web,我们首先试试匿名访问ftp
在这里插入图片描述
发现有一个zip文件,我们把它先下载下来,发现需要密码
在这里插入图片描述
我们使用工具爆破一下获得了解压密码,打开里面的txt文件发现一串字符串,还有另外一个压缩包secret.zip,但secret.zip爆破不出来

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

在这里插入图片描述
在这里插入图片描述

just focus on "drip"
专注于“drip”

暂时不知道有什么用,先放在一边

我们再打开他的网站看看,发现一串字符
在这里插入图片描述

漂流蓝调又被黑客攻击了,所以它现在被称为滴水蓝 😃 哈哈哈

没有更多的信息,然后我们扫描一下他网站的目录
在这里插入图片描述
发现有robots.txt文件和index.php,我们先访问robots.txt
在这里插入图片描述
告诉了我们两个路径,访问第一个txt可以得到一串字符串

hello dear hacker wannabe,
go for this lyrics:
https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
count the n words and put them side by side then md5sum it
ie, hellohellohellohello >> md5sum hellohellohellohello
it's the password of ssh
你好亲爱的黑客,
选择这首歌词:
https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
数一数n个单词,并排放置,然后md5sum计算它
例如,hellohellohellohello >> mu5sum hellohellohellohello
这是ssh的密码

研究了半天,也没有一个结果,所以放弃了,但是第二个/etc/dripispowerful.html,这个文件,间接告诉了我们可能存在文件包含漏洞
所以我们去index.php传入之前我们找到的dirp参数
在这里插入图片描述
果然有文件包含,并且告诉了我们一个密码,接下来就是找用户名再用ssh登录了,我们用它包含一下/etc/passwd文件,看看有什么用户是可以登录的
在这里插入图片描述
发现有个叫thugger的用户可以登录,尝试ssh登录,拿到了第一个flag
在这里插入图片描述
接下来要做的就是提权了

提权

使用find / -perm -u=s 2>/dev/null后,并没有发现什么很有用的信息,突然想起之前一直没搞出来的那个歌词的东西,所以打算去找找大佬的博客,给了我另一种解题思路
我们查看一下靶机运行的进程
在这里插入图片描述
发现靶机运行了polkitd

polkit 是一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯:控制决策集中在统一的框架之中,决定低优先级进程是否有权访问高优先级进程。
Polkit 在系统层级进行权限控制,提供了一个低优先级进程和高优先级进程进行通讯的系统。和 sudo 等程序不同,Polkit 并没有赋予进程完全的 root 权限,而是通过一个集中的策略系统进行更精细的授权。
Polkit 定义出一系列操作,例如运行 GParted, 并将用户按照群组或用户名进行划分,例如 wheel 群组用户。然后定义每个操作是否可以由某些用户执行,执行操作前是否需要一些额外的确认,例如通过输入密码确认用户是不是属于某个群组。

我们再去万能的github查找一下它的提权漏洞
在这里插入图片描述
我们把py文件下载下来复制到靶机上运行即可获得root权限了
在这里插入图片描述
即可获得最终的flag
在这里插入图片描述

posted @ 2022-01-25 23:38  北の泉  阅读(98)  评论(0编辑  收藏  举报