电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 609 人浏览分享

hackmyvm系列13——away

[复制链接]
609 0
前言:

每个人都有属于自己的一片森林,也许我们 从来不曾去过,但它一直在那里,总会在那里。 迷失的人迷失了
相逢的人会再相逢。

*本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!
所有环境均为在线下载的靶场且在本机进行学习。


一、信息收集

nmap -Pn -sC -A 192.168.36.134

QQ截图20220725102708.png

先观察一下80端口的web页面

QQ截图20220725102948.png

查看js以及请求与响应包,也没有发现什么有价值的东西,于是对其进行目录扫描
gobuster dir -u http://192.168.36.134/ -w /usr/share/wordlists/dirbuster/directory-lis
t-2.3-medium.txt -x zip,pub,txt,html
同样也是没有啥东西,这时候回到web页面,这个很像ssh-keygen生成的东西,于是本地生成一波

QQ截图20220725103029.png

经过观察可以发现,web页面中的为ED25519 256,而kali生成的为RSA 3072,百度一波

参考

https://neil-wu.github.io/2020/04/04/2020-04-04-SSH-key/

本机kali生成一下看看

1000.png

根据靶场的一般套路,直接作为文件名访问,直接作为文件名进行访问

下载成功,进行尝试登录

999.png

不过这里居然还提示需要密码。。。

对其文件进行查看,在.pub文件中发现了密码(靶场感觉有点偏CTF。。。)

998.png

二、获取shell

登录进行可以拿到第一个flag

996.png

sudo -l发现有个webhook,是以用户lula权限去运行的,百度查找一下资料

993.png

https://library.humio.com/humio-server/training-use-cases-webhooks-shell-scripts.html

先编写一个sh脚本上传至对方机器的tmp目录中

991.png

然后构造一个脚本,跟着去运行即可

sudo -u lula webhook -hooks hooks.json -verbose

这个id值就是我们hooks.json里面的那个id后面的值

990.png

访问页面即可获得反弹shell

899.png

利用提权工具发现一个特殊的文件

898.png

在lula用户里有root权限,使用-h查看用法

897.png

尝试读取root用户的.ssh

./more -c /root/.ssh/id_ed25519

896.png

895.png

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.