前文说到了在与第一个靶机相连接的网络中发现了另一个靶机(IP是192.168.122.2),并且按照提示,使用社会工程手段(网络信息搜索)我获得了一个账号信息(sandieshaw/puppetonastring),用ssh方式登录到这个靶机,且称作靶机2。
内含三个靶机的虚拟机对内存要求比较高,8G内存的笔记本跑两个虚拟机(Kali和靶机)真吃力!做渗透需要耐心,等待命令行返回也考验耐心。之前看过靶机2里存放有公钥和私钥文件,暂时还不知道怎么利用。我在/etc/puppet/modules/files目录下找到了一个二进制程序spin和它的源码文件。这个二进制可执行文件运行效果就像孙悟空舞金箍棒的效果--一根竖条转圈圈。我们可以重新写一个shellcode替换它进行提权。不过靶机2上没有gcc也没有cc,只好先在kali上编译好二进制文件后,使用文件拷贝的方法传到靶机2上。拷贝的方法不多言了,看图就明白了。
下图是用于提权的源码文件,两行C语言系统调用。编译成二进制可执行的靶机同名文件spin按照提示复制到靶机2根目录下的tmp中。
因为tmp中存在一个spin文件,所以先把它拷贝到/etc/puppet/modules/wiggle/files中,在靶机2中再强制拷贝到/tmp中。运行后,效果很明显,提权成功了!
任务到此一般就算结束了。但是.....还有一个靶机没有动呢!看看flag文件再说吧。flag.txt.oxff?flag是一长串数字,结合flag文件名的oxff后缀,猜想是十六进制字符串。那就先转成普通字符串后再看看吧。
cat flag1.txt.0xff | xxd -r -p
还是看的不很明白?看到字符串开头的两个"=",再来一次base64解码。
cat flag1.txt.0xff | xxd -r -p | rev | base64 --decode
**** 看来还要想办法看视频才能知道答案。怎么看youtube的视频我就不明说了。
今天抽空拿下了靶机2的root权限,后面的任务就是拿下第三个靶机的root权限了。渗透CTF靶机,拿到flag是首要任务,但不是目的。平时练习有深入练习的机会,最好能够给自己增加点难度,争取完全拿下目标,控制目标。感谢大家的关注!
