Dr4g0nB4ll

靶机搭建

下载链接

https://download.vulnhub.com/dr4g0nb4ll/Dr4g0n-b4ll.zip

注意下载后kali和靶机都要是nat模式

信息搜集

主机发现

扫描C段，发现140这台主机

端口扫描

快速TCP扫描

开放了22和80端口

常见端口的UDP扫描

详细TCP扫描

漏洞脚本扫描

有robots.txt

漏洞探测

Web渗透

访问80端口

扫一下目录

连前面的robots.txt都没扫出来，加几个参数

访问robots.txt，一眼base64

解密一下

但不知道隐藏目录是什么，回到index.html，查看源代码，找到了这个

原来DRAGON BALL就是隐藏目录

访问secret.txt

还有一张图片和登录页面，这里的xmen似乎是人名

爆破

先爆破一下secret.txt

自动化扫描，先删除空行

#1、在开头添加http://192.168.213.140  s 表示替换
sed 's|^|http://192.168.213.140|' secret.txt | tee secret_ext.txt     
#2、拼接/DRAGON%20BALL   tee中 -a 表示追加  不加的话会覆盖原始文件
sed 's|^|http://192.168.213.140/DRAGON%20BALL|' secret.txt | tee -a secret_ext.txt
#3、拼接Vulnhub
sed 's|^|http://192.168.213.140/DRAGON%20BALL/Vulnhub|' secret.txt | tee -a secret_ext.txt
#4、手动改一下空格,就三处
vim secret_ext.txt
# /vanakkam nanba ==> /vanakkam%20nanba

访问

//-r 处理 / 特殊字符  -o /dev/null输出全不要，-s静默访问，-w自定义输出 url_effecive生效的url，url_code状态码
while read -r url;do curl -o /dev/null -s -w "%{url_effective} http code:%{http_code}\n" "$url";done < secret_ext.txt

全部都是404

图片隐写

查看文件类型

exif信息

binwalk

steghide

这是steghide的交互流程，并不能判断这张图片是不是有隐写

用stegseek来爆破

提取出了id_rsa，是openssl的私钥

获取立足点

尝试登录ssh，root需要密码

尝试一下xmen，成功登录

路径劫持提权

发现这两个文件，其中shell有suid权限

demo.c就三行代码，看着是以root的权限执行ps命令，因为这里没用绝对路径，有机可乘

在家目录下建立ps，放在环境变量的最前面

加上可执行权限，成功提权root

拿到flag