Loading

fristileaks_1.3

https://www.vulnhub.com/entry/fristileaks-13,133/

简介

一个有趣的 ctf 类靶场。

ctf 类型的话,就不做过多的版本漏洞检测(中间件、内核、软件等),侧重于配置不当。

修改完 mac 地址,获取到靶机 ip。

image-20210427154104959

信息收集

image-20210427154118159

image-20210427154206890

web 渗透

image-20210427193940915

dirsearch 跑目录,发现 robots.txt ,里面包含三个目录。

image-20210427194050630

访问这三个目录,得到都是类似的。

image-20210427194129010

到这步,没什么思路了,看了下 writeup 、线索在目录名及主页图片上。

beer # 啤酒 
cola # 可乐
sisi # google 搜一下 sisi drink ,就得知它也是一个品牌的饮料

主页图片

image-20210427194559648

image-20210427194621016

发现这个页面有登录框,那就尝试 sqlmap 。结果没有注入点。

复盘时,应该在尝试漏洞之前,先详细了解一下这个页面,看看源码之类。

image-20210427194633025

在这个页面的源代码中发现以下内容。

image-20210427194853778

image-20210427194955739

用和这个图片类似的方法构建这个图片

image-20210427195112147

image-20210427195122668

登录进去,发现存在上传文件的链接,点击链接,跳转到上传文件的页面

image-20210427195301305

可以用 msfvenom 生成 php shell ,然后尝试上传。

运气很好,尝试了十几次,成功上传 shell,并且可以正常执行。

image-20210427164058895

image-20210427195727064

提权

先尝试手动收集提权信息,不行再用 linpeas 脚本收集

用户信息

image-20210427164244387

看到 mysql ,可以尝试去网站目录搜索 mysql 凭证,进入到 mysql 后发现是低权限用户,没有有价值的信息。

首先进入到 家目录,发现 有一条提示信息

image-20210427200104656

跟着提示信息走,发现家目录只有 eezeepz 的目录可以访问。

无视此处的 admin 目录,这个是我已通关的截图。下面的内容如果发现与你结果不同的,请以你的靶机为准。

image-20210427200145081

eezeepz 目录下有许多命令和几个文件。直觉,在一大群命令之中,这几个文件看起来就比较特殊。其中有一个 notes.txt 文件

image-20210427200643664

从这个文件中,大概意思是会以 admin 用户每分钟运行处于 /tmp/runthis 文件下的命令。

image-20210427164631347

那么就尝试让它执行我们的命令

echo chmod 777 /home/admin > /tmp/runthis
# 你会发现输出结果提示必须要以 特定路径开头。
# 因为 /home/admin 中有这个命令,所以可以直接尝试即可。
echo /home/admin/chmod 777 /home/admin > /tmp/runthis
# 这种也是可以的
echo /usr/bin/../../../bin/chmod 777 /home/admin > /tmp/runthis

进入到 admin 目录之后,发现有一些命令,还有一些看上去类似加密之类的文件。

image-20210427201703126

image-20210427201837319

看上去比较简单的加解密。

import base64,codecs,sys

strs = ['mVGZ3O3omkJLmy2pcuTq','=RFn0AKnlMHMPIzpyuTI0ITG']

def mydecode(str):
    rot13string = codecs.decode(str[::-1], 'rot13')
    return base64.b64decode(rot13string)

print(mydecode(strs[0]))
print(mydecode(strs[1]))

##########  输出
b'thisisalsopw123'
b'LetThereBeFristi!'

获得密码之后,升级到 full shell ,尝试登录

python -c 'import pty; pty.spawn("/bin/bash")'

image-20210427202558801

继续看 家目录

image-20210427202628732

.bash_history 中,提醒了 该用户具有 sudo 权限,以及一些敏感操作。看下 sudo 权限,发现仅能操作一个文件

image-20210427203318691

image-20210427202740315

模仿 .bash_history 中的操作。

image-20210427202952853

image-20210427203016522

posted @ 2021-04-27 21:01  沉云  阅读(226)  评论(0编辑  收藏  举报