Vulnhub-靶机-FRISTILEAKS: 1.3

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现；根据此靶机的官方描述使用VMware虚拟机加载靶机需要将网卡的MAC地址更改为08:00:27:A5:A6:76 方可获取IP地址，所以在VMware上给了IP网段为10.10.10.0/24 对应的IP地址是 10.10.10.130

地址:https://www.vulnhub.com/entry/fristileaks-13,133/ 

 sudo nmap -n -p- -sC -sV -T5 -oN firstileaks.nmap 10.10.10.130

nmap扫描结果

上面的扫描结果探测出了robots协议里面有3个URI，访问发现页面的图片内容是一样的

使用dirb进行了目标爆破，结果跟上面探测出来的是一致的，没啥结果继续看，(这里花了些时间)想想此靶机是以fristi类似命名的，以fristi当做URI访问得到如下结果

查看网页源代码

知道上述此信息是用户eezeepz撰写，下面带有base64编码的图片，格式是png格式，再向下看发现注释存在一个base64编码的信息，猜测可能就是图片

将其在线转换为图片如下

综合上面的信息，把eezeepz当做用户名 keKkeKKeKKeKkEkkEk 当做密码登录目标页面，最终成功登录，发现登陆成功之后是个上传页面

经过测试，只需要将上传的php文件改成后缀允许的gif，jpg，png等格式即可绕过上传限制，成功上传，上传完成之后本地监听端口，访问上传的文件，成功反弹shell

进去之后翻看了家目录，只有用户eezeepz可以进入并查看相关信息

看到一个note文件，得到如下内容

大概意思是有个计划任务通过执行命令更改家目录admin的权限就可以进入该目录了

成功进入admin家目录，发现含有加密的代码和加密的密码，根据代码信息编写解码的代码进行解密

解密结果

使用得到的密码切换至用户admin

但是发现admin用户并没有sudo -l的提权权限，那么再试试另一个用户看看有没有，这种走捷径的方法要多试试

发现有sudo提权命令了，看下权限，然后执行一把