靶机学习-dr4g0n b4ll-vulnhub实战

关键词：图片隐写;ssh;PATH提权;
描述：这台靶机学习的是一些linux命令使用和对PATH提权的初次实践。
靶机地址:http://www.vulnhub.com/entry/dr4g0n-b4ll-1,646/
参考视频：https://www.bilibili.com/video/BV1cy421z7ww/?spm_id_from=333.1007.top_right_bar_window_history.content.click&vd_source=002fc2971e55f5a77d8b891ab93f8ca7

0x01信息收集

首先是扫描出靶机ip

搭好靶机后，多出来的ip就是靶机地址。

然后开始对靶机端口扫描，得到了22(ssh)和80（http）端口开放。

看到80端口，浏览器访问看看有无web服务。浏览器中得到一个全英文关于龙珠讲解的页面。

右键查看页面代码，发现下面有很长的空格项，事出反常必有妖，从中找到一段字码，猜测是base64。

利用linux里面的echo，解密三次得到原字符DRAGON BALL

放入url里面访问同名目录，可以看见文件泄露

0x02 文件泄露

可以看到有一个Vulnhub文件夹和一个secret.txt。Vulnhub文件夹里面是一张图片和一个登录页面。

我们首先看secret.txt可以看见里面有很多的页面名字，猜测其中里面有页面包含了我们想要的信息。

通过sed命令，自动化拼接secret.txt里面的东西，并且保存到secret_test.txt文件。

再拼接两次，查找页面是否位于前面找到DRAGON BALL文件夹或者Vulnhub文件夹里

最终的secret_test.txt文件

接下来开始依次访问，编写语句，循环依次读取secret_test.txt文件，利用curl命令访问url，然后读取状态码，寻找访问成功的状态码。

可以看到最后结果并没有成功的,然后进儿查看前面所发现的aj图片，猜测是图片可能有隐写，尝试一系列过后发现可以用steghide得到一个ssh密钥文件

先还原密钥名字，然后修改文件的权限，最后尝试使用login.html页面的xmen，发现可以登录上去，

然后得到用户flag

0x03 PATH提权

同时发现，script文件夹权限是root,访问进去，在里面可以找到一个demo.c和shell文件。

demo.c里面有root权限代码，以及最后执行了一个系统命令ps，然后执行当前shell文件可以看到也是一个ps命令结果，这儿可以推测demo.c有可能是shell的源代码。这里会使用到PATH提权，因为ps命令没有用绝对路径，我们可以对此作为利用。先切换到tem临时目录，然后创建同名ps文件，然后修改权限和将当前目录放进$PATH变量最前面，这时候再执行刚刚那个shell文件，就可以看到root用户了。

命令行
cd /tmp
echo "/bin/bash" >ps
chmod +x ps
export PATH=/tmp:$PATH
./script/shell

在root目录里找到proof.txt里面就是我们要的flag了。

END