driftingblues1靶机

信息收集

1. 使用nmap扫描得到目标靶机ip为192.168.78.166，开放80和22端口

web渗透

1. 访问目标网站，在查看网站源代码的时候发现了一条注释的base64加密字符串

2. 对其解密得到了一个目录文件

3. 访问文件发现是一串ook加密的字符串，直接使用在线工具进行解密

4. 通过解密得到了需要使用host文件，host是可以修改ip和域名对应的文件，看来后续的目标要网域名方向靠拢了

5. 因为域名的格式是xxx.xxx，发现网页上还真有这样子格式

6. 尝试修改hosts文件内容，添加ip和域名对应内容，再次尝试访问，可以正常访问

7. 发现页面和往常一样，这里想到可能需要进行子域名爆破，关键点隐藏在子域名中，使用layer爆破发现卡住了，不得已转到kali主机下，使用ffuf工具进行子域名爆破，得到了子域名为test

8. 再次修改hosts文件内容，将test子域名也添加在内

9. 访问网站之后提示正常流程工作，也没有什么内容，尝试用dirb扫描一下目录，发现robots.txt文件的存在

10. 访问robots.txt文件，发现隐藏了一个ssh的文件

11. 访问该文件提示ssh的登录密码为该字符串后面跟一个数字

12. 尝试使用代码将可能的密码输出，保存到kali主机的文件中

获取shell

1. 根据前面的提示，每个提示后面多次出现 -eric，怀疑这个就是登录的用户名，可以使用Hyder或者美杜莎进行ssh爆破登录，爆破结果显示带有6的字符串是登录密码
2. 进行ssh登录，成功登陆到eric用户的shell

权限提升

1. 第一思路依旧是尝试suid，sudo -l和定时任务的查看，都没有什么收获

2. 再访问了一下备份目录，发现有一个backup.sh的文件，查看了一下脚本里的内容，发现最后一条命令提示是一个后门，看这样子是可以使用root权限执行后面文件

3. 但是要如何去执行这个脚本呢，使用当前用户权限执行是需要root密码的，肯定是需要调用root命令来执行这个脚本才行，来到eric目录下看看有没有可以利用的内容，只有一个flag可以查看

4. 那样子能使用root权限执行该脚本就还剩下定时任务了，但是查看定时任务没有显示，查看了wp发现可以使用一个工具pspy64来查看主机所执行的所有进程，使用工具查看后发现等待一段实践执行了backup.sh脚本，而且uid是0，代表使用的是root权限

5. 直接再tmp目录下创建后门文件，在里面写入获取root权限的命令，一开始想着直接写入/bin/bash和反弹shell脚本直接获取root权限，但是发现失败了。

6. 但可以尝试的方式有很多，毕竟有着root权限，可以创建一个新的root用户写入到passwd文件中，也可以给eric用户添加root权限写入到sudoers文件中，这里尝试的第二种方法，直接将eric用户赋予所有权限并不需要密码

7. 通过了解还有一个方法，可以将shadow文件内容存入到tmp目录的一个文件中，查看shadow内容可以对root用户的密码进行hash爆破，从而获取root用户的密码

8. 使用sudo su -切换到root权限，查看flag

靶机总结

1. 本次靶机进行了域名渗透操作，进行了子域名爆破，提权时隐藏了定时任务的信息
2. 根据网页提示说和host文件有关系，接触到host就要想到ip和域名对应，既然涉及到域名那就少不了子域名爆破了，信息就隐藏在子域名网页中。还要讲子域名添加到hosts文件中。子域名爆破的工具有很多，这里使用的是layer和ffuf
3. 再进行后渗透时，发现存在脚本需要使用root权限执行即可进行权限提升的利用，那多半就可能是定时任务来执行的，本次靶机就将定时任务的信息隐藏了，但是可以使用pspy64工具查看得知存在定时任务
4. 但是在利用后门文件时，出现了不会利用的情况，想着直接/bin/bash或者反弹shell直接等待root的shell返回就行了。看来似乎不是这样子，但是有了root权限还是可以进行很多操作的，例如在passwd和sudoers文件中新增内容，查看shadow文件内容，甚至可以访问root目录，使用ls查看flag文件名，再加上cat命令直接查看文件，都可以不用获取root用户权限