[Vulnhub靶机] DriftingBlues: 4

[Vulnhub靶机] DriftingBlues: 4靶机渗透思路及方法（个人分享）

靶机下载地址：

https://download.vulnhub.com/driftingblues/driftingblues4_vh.ova

---

靶机地址：192.168.67.23

攻击机地址：192.168.67.3

---

一、信息收集

1.使用 arp-scan 命令扫描网段内存活的主机，以获取靶机ip地址

arp-scan -I 指定网卡 -l

2.使用 nmap 工具扫描靶机开放端口、服务版本以及系统版本，得到开放端口21、22、80及其服务ftp、ssh、http

nmap -sV -O 靶机地址

        -sV        探测主机服务版本

        -O         识别主机操作系统

​

3.访问网站，发现页面没有有用回显，查看网页源代码，发现了一串 base64 加密值，尝试对其进行解密，讲过多次解密后获得 /imfuckingmad.txt 文件

​

​

4.访问 /imfuckingmad.txt 文件，获得了一串 Brainfuck 编码，对其进行解密，获得了一个图片地址

Brainfuck编码在线解密地址：Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]

​

5.访问图片地址，发现是一个二维码图片，我们利用QR_Research工具（CTF中杂项会使用到的一个扫描二维码的工具）对二维码图片进行扫描，获得一个网址https://i.imgur.com/a4JjS76.png

​

6.访问网站图片https://i.imgur.com/a4JjS76.png（起初以为和先前的题目一样需要修改hosts文件，但后面访问后发现无法成功访问，重新查看给的网址，发现网址用的https协议，原来之前理解错了意思，题目想让我们访问真正的网站。而且正常访问访问不了，需要挂代理），得到了四个用户名

二、漏洞利用

1.利用得到的用户名创建一个usernames.txt文件，作为用户字典。使用 hydra 工具尝试暴力破解ssh和ftp服务，发现ssh服务没有爆破成功，成功爆破了ftp服务，得到了用户名/密码（luther/mypics）

hydra -L usernames.txt -P /usr/share/wordists/rockyou.txt 192.168.67.23 ssh

        -L              指定用户字典的路径

        -P              指定密码字典的路径

        ssh            用于暴力破解SSH服务器
        ftp              用于暴力破额FTP服务器

/usr/share/wordists/rockyou.txt 是kali系统自带的密码文件，默认是个压缩包需要自行解压

2.使用爆破得到的用户名/密码登录ftp服务，成功登录，并发现了sync_log文件和hubert目录，使用 get 命令将sync_log文件下载，进行查看，发现没有什么有用的信息

通过sync_log文件的命令来推断，该文件可能是sync的日志文件。sync是一个系统调用，它将所有文件系统缓冲区中的数据立即写入磁盘。这样做的目的是确保数据的持久性存储，避免因为异常情况（如系统崩溃）导致数据丢失或损坏。当我们使用sync命令时，操作系统会将内存中未写入磁盘的数据强制刷新到磁盘上，以确保数据的一致性。

3.查看分析hubert目录，发现该目录中没有任何文件，但是通过之前的查看的属主和属组跟其他文件的不一样，想起来我们的用户字典中有一个hubert用户，猜测该目录是hubert的用户目录。因为该文件的权限是所有人可读可写可执行，所以我们可以通过上传密钥文件来登录ssh

三、远程登录

1.使用 ssh-keygen 工具生成公密钥，并将生成的密钥保存到 /root/.ssh/ 目录下

ssh-keygen -t rsa

        -t        指定生成的密钥类型，默认为RSA类型

2.将公钥文件的内容输出到authorized_keys文件内，利用ftp服务在hubert目录下创建.ssh目录，并将authorized_keys文件上传到该目录内

3.利用私钥进行ssh远程连接到靶机，成功访问

四、提权

两种提权方式：

        第一种：利用root用户会定期执行python脚本来进行提权

        第二种：利用命令劫持进行提权

第一种提权方法：

1.在成功登录后习惯性使用 ls 命令查看当前目录下的文件，发现一个属主和属组都是root用户的python脚本文件emergency.py。查看该文件的内容，发现该脚本利用python语言执行了系统命令

2.查看 emergency.py 脚本中执行写入'1'命令的 /tmp/backdoor_testing 文件，发现执行了多次该命令，猜测root用户会定期执行emergency.py 脚本来执行写入命令

3.在攻击机打卡nc监听

nc -lvp 监听端口号 靶机地址

        -l             开启监听

        -v            显示详细输出

        -p            指定监听端口

4.因为之前查看我们发现该文件的其他人不可以写入，所以我们要删除该文件，重新创建一个新的emergency.py文件，来编写文件内容进行shell反弹

5.等待root用户执行emergency.py文件，成功反弹shell，并且shell是root权限，同时可以利用python中的 pty模块 的创建交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

        -c        在命令行中调用python代码

pty.spawn() 函数是pty模块中的一个函数，用于创建一个子进程，并将其连接到一个伪终端。通过这个伪终端，我们可以与子进程进行交互，就像在控制台上一样。

第二种提权方法：

1.使用 find 命令寻找suid程序，发现一个可疑程序/usr/bin/getinfo

find / -perm -4000 2>/dev/null 或 find / -perm -u=s 2>/dev/null

        -perm         按照权限查找文件（4000、2000、1000分别表示SUID，SGID，SBIT权限，如777为普通文件最高权限，7000为特殊文件的最高权限）

使用find命令的时候在命令后加 2>/dev/null 将错误结果输出重定向到/dev/null中，/dev/null是一个特殊的设备文件，其实质为空设备文件，其大小是0字节，所有人都有读写权限，而其主要作用就是将接收的一切输出给它的数据并丢弃，就像垃圾桶，也被称为位桶(bit bucket)

2.执行该程序，根据执行结果发现分别运行了ip addr、cat /etc/hosts、uname -a命令

3.可以通过修改环境来进行命令劫持提权

通过修改环境变量让getinfo在调用命令调用到我们伪造的ip命令（在检索环境时会先调用最前面的环境也就是最新写入的环境），来达到提权的效果

export PATH=/tmp/:$PATH             把/tmp路径写入到系统路径中

echo $PATH                                   输出系统路径

cd /tmp

echo '/bin/bash' > ip                       把/bin/bash写入到ip文件中(相当于创建ip并写入/bin/bash)

chmod +x ip                                    给ip文件增加执行权限

4.再次运行getinfo，成功提权至root权限