Vulnhub：Dr4g0n b4ll 1

靶机下载地址

信息收集

主机发现

nmap扫描攻击机同网段存活主机。

nmap 192.168.31.0/24 -Pn -T4

靶机ip：192.168.31.183

端口扫描

nmap 192.168.31.183 -A -p- -T4

开放了22,80端口，端口详细信息如下：

网站信息收集

访问http服务。

首页没什么可操作的，F12检查页面元素，找到隐藏信息，在页面底部有一串注释字符。

看样子是base64编码，解码。测试发现需要解码三次，最后得到：DRAGON BALL。

VWtaS1FsSXdPVTlKUlVwQ1ZFVjNQUT09
UkZKQlIwOU9JRUpCVEV3PQ==
RFJBR09OIEJBTEw=

目录扫描

经过dirsearch和gobuster扫描得到路径/robots.txt和aj.jpg。

dirsearch -u http://192.168.31.183
gobuster dir -u http://192.168.31.183/ -w directory-list-2.3-medium.txt -x html,php,js,jpg,png,txt

访问/robots.txt，又得到一段base64编码，解码结果是：you find the hidden dir。

aj.jpg，一张黑客图片，暂时不知道有没有用。

两段base64提示结合一下就是：DRAGON BALL是隐藏目录。访问DRAGON BALL目录：

Vulnhub/文件夹下有aj.jpg和login.html，/DRAGON BALL/aj.jpg与/aj.jpg是同一张图片。

访问/DRAGON BALL/Vulnhub/login.html，一个简单的html页面，两个信息：

1. download指向aj.jpg，多次提及aj.jpg是在提示图片内有隐藏信息；
2. WELCOME TO xmen，xmen大概率是用户名。

/secret.txt里是一些路径，怎么拼接都不对，通通404。 

图片隐写

stegseek（一款针对Steghide的隐藏数据提取工具）提取图片隐藏信息。 图片隐写工具有很多，Vulnhub很多靶机图片隐写相关的部分都是使用steghide隐藏信息的，加之可能有密码，所以这里直接用了stegseek（爆破密码并提取隐藏信息）。

stegseek aj.jpg

得到ssh私钥。

渗透

得到ssh私钥，检查靶机ssh服务是否接受私钥登录ssh 192.168.31.183 -v，支持。将私钥复制到工作目录，命名为id_rsa，记住一定要将id_rsa权限修改为600。尝试ssh私钥登录（用户名不知道就拿出现过的可疑字符试）。

ssh -i id_rsa xmen@192.168.31.183

用户名是xmen。

get local.txt!

在xmen家目录下发现拥有suid权限的文件/script/shell。

提权

对shell文件是否能够帮助我们提权进行探索。查看shell文件显示乱码，执行shell，发现执行结果和ps命令结果一致。

查看script目录下的demo.c，调用系统命令ps，这个时候思路已经清晰了。同样提权方法的靶机参考Vulnhub：hacksudo search-CSDN博客

在有执行权限的文件夹内创建ps文件，创建成功后添加到环境变量PATH中。

详细步骤如下：

cd tmp
echo '/bin/bash' > ps
chmod 777 ps
# 将刚创建的ps添加到环境变量中
export PATH=/tmp:$PATH

检验环境变量，添加成功。

执行shell，成功拿下root权限。

get proof.txt!🎆