在我拿到靶机IP之后我首先使用nmap -A进行了全面扫描
每个信息对我们都至关重要,发现靶机开放了三个端口,并获得了他的版本号,随后我使用searchsploit搜索是否存在相关的版本漏洞
发现并不存在相关的服务版本漏洞,那我们就从80的web服务端口开始寻找,并在首页找到了一个电话,三个姓名,一个邮箱
052-452-990-054
Martin N
Hadi M
Jimmy S
martin@secretsec.com
下一步,使用gobuster dir -u 进行目录扫描,没过多久就已经找到了三个目录,并发现一个目录遍历
在目录遍历出泄露了一个ssh私钥文件,并且22端口是开放的,我进行了第一次尝试登陆,使用上面泄露的用户名,,并使用martin登录了进去
需要将id_rsa权限修改为600,并且用户名不能为大写,进入之后找到了低权限的标志文件[local.txt]
在翻找了一段时间之后发现了一个定时文件,并写入了一个反弹shell的py文件,等待它执行
但是在之后并未找到提权的路径,随后我又把希望放在了最后一个用户hadi身上,并生成了有关hadi的密码字典使用hydra -l hadi -P pass.txt IP ssh -v 进行爆破,并且成功爆破出来了密码
ssh登录进去之后我尝试使用find / -perm /4000查找具有SUID权限的文件,发现了/bin/su的存在
随机找到了最后的标志文件[proof.txt]
