Dr4g0n

信息收集

# nmap -sn 192.168.56.0/24 -oN live.nmap                   
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:52 CST
Nmap scan report for 192.168.56.2
Host is up (0.00012s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.56.132
Host is up (0.00010s latency).
MAC Address: 00:0C:29:FB:90:3A (VMware)
Nmap scan report for 192.168.56.254
Host is up (0.0011s latency).
MAC Address: 00:50:56:E8:10:E3 (VMware)
Nmap scan report for 192.168.56.130
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 2.16 seconds

探测到目标靶机的IP地址为192.168.56.132

# nmap -sT --min-rate 10000 -p- 192.168.56.132 -oN port.nmap                           
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:53 CST
Nmap scan report for 192.168.56.132
Host is up (0.00077s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:FB:90:3A (VMware)

端口信息探测到目标靶机仅开放端口22 和 80两个端口！

# nmap -sT -sC -sV -O -p22,80 192.168.56.132 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:54 CST
Nmap scan report for 192.168.56.132
Host is up (0.0031s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 b5:77:4c:88:d7:27:54:1c:56:1d:48:d9:a4:1e:28:91 (RSA)
|   256 c6:a8:c8:9e:ed:0d:67:1f:ae:ad:6b:d5:dd:f1:57:a1 (ECDSA)
|_  256 fa:a9:b0:e3:06:2b:92:63:ba:11:2f:94:d6:31:90:b2 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: DRAGON BALL | Aj's
MAC Address: 00:0C:29:FB:90:3A (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 5.0 - 5.5 (99%), Linux 2.6.32 (96%), Linux 3.2 - 4.9 (96%), Netgear ReadyNAS 2100 (RAIDiator 4.2.24) (96%), Linux 2.6.32 - 3.10 (96%), Linux 4.15 - 5.8 (96%), Linux 5.3 - 5.4 (96%), Sony X75CH-series Android TV (Android 5.0) (95%), Linux 3.1 (95%), Linux 3.2 (95%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.66 seconds

详细信息的探测：22端口上是openssh 7.9 80端口上为apache开启的http服务 版本为2.4.38 存在一个title但是没有其他的详细信息了！

# nmap -sT --script=vuln -p22,80 192.168.56.132 -oN vuls.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:54 CST
Nmap scan report for 192.168.56.132
Host is up (0.00038s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-enum: 
|_  /robots.txt: Robots file
MAC Address: 00:0C:29:FB:90:3A (VMware)Nmap done: 1 IP address (1 host up) scanned in 31.24 seconds

默认漏洞脚本的信息探测显示存在一个robots文件，但是似乎也没什么其他的重要敏感信息！既然仅存在22和80俩个端口，那么我们将重点放在80端口上！

寻找立足点

80端口上看到了很多七龙珠的信息！robots文件中看到了疑似base64编码的字符串！

尝试解码：

‘

似乎存在隐藏的目录，但是我们并不知道隐藏的目录是什么！尝试进行目录扫描：

这里用了两个工具，同时还用了不同的字典，但是似乎没有找到隐藏的目录：

you find the hidden dir 似乎告诉我们找到了隐藏目录，不会就是robots文件本身吧？似乎没什么用啊！尝试回到主页进行翻译：

（大概翻译了一下主页中所有的英文，似乎和整个靶机看起来并不是很相关！主页中存在三张图片！尝试下载下来看一下是不是存在隐写！）

哎！等会！发现了一点点不对的地方，首页查看源码的时候，又发现了疑似base64的东西：

尝试再次解码：

经过了三次base64的解码，发现了主题词 DRAGON BALL！ 这是啥？不会是目录啥的？

真的是目录，本来还想着去看看三张图片的信息，但是三张图片的信息，并不是靶机上的资源，所以这里我判断可能也不会存在隐写的信息！（当然了这只是猜测，后续没什么突破的话 还是要看一下的！）

整体上看了一下secret文件中的内容和vulnhub中的信息：

secret中的信息是一些目录！一会可以利用目录扫描工具，进行扫描！

vulnhub目录下面存在着一张图片和一个登录的html页面：

先扫了一下目录，但是似乎看起来没有存在的目录信息：

login.html页面还是纯静态的！没啥用啊！

这个源码中似乎也没什么东西！还有一张图片了就，尝试下载下来看看里面是不是存在隐写吧，似乎没有其他的路可以走了！

这里我给四张图片（包括了前面看到的三张图片，全部都下载下来了！）看了一下是否存在隐写信息，看起来也没什么东西啊：

后面找到了stegseek工具，发现aj图片中存在隐写信息：

找到了密码字段为love 存在原始文件id_rsa！ 尝试提取出这个文件！

发现提取出来的文件是 私钥文件！ 尝试给予权限：

因为在login.html页面看到了用户名为xmen！ 尝试利用私钥进行连接！

连接成功之后，建立了初始立足点！尝试进行提权！

提权

确定目标靶机的ip地址，并不是docker环境！尝试提权，查看/etc/passwd文件：

还存在一个用户名为cyber！

当前目录下面存在一个flag文件！发现当前用户的目录下面存在一个目录为script，里面存在两个文件，但是这个两个文件的权限，都是root，其他用户的权限只有执行和读的权限：

看到了demo文件中的内容是设置了组id和用户id！似乎没有修改的权限！查看了sudo权限，当然我们没有密码，看不到，同时还看了一下suid文件：

尝试去看了家目录，但是发现并没有刚才看到cyber用户！

既然上面的shell具有suid权限，那么我们可以尝试重写一个ps等！在tmp目录下面重写ps！写入/bin/bash！

echo '/bin/bash' > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH
之后执行shell进行提权：

最终提权成功！