渗透测试之靶机试炼（一）

靶机简介

靶机地址：
https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova

运行环境：
VirtualBox

攻击测试机环境
kali
win 10

工具简介
burpsuite
Cknife
dirb
nmap
nc
python

靶机网卡设置

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。
配置完成后开机既可，开机后会直接给出目标IP（此处作者第一次获取ip失败，通过重置靶机root密码后发现设备网卡和配置文件不一致造成获取不到ip，百度一下解决）

信息收集

这里我们拿到目标ip后 ，常规思路 nmap全端口扫描
nmap -v -p1-65535 10.211.55.11
经过探测目标只开放了80端口，浪费很多时间扫描全端口，这里唠叨一句，根据作者以往经验，有很多人喜欢把服务放到一些不常用的端口上，混淆视听，所以建议坚持使用全端口扫描。
接下来我们访问目标的80端口
发现只是一张图片，然后查看页面源码也什么都没有发现，接下来常规思路爆破以下目录，这里作者使用dirb，kali自带的目录爆破工具
dirb http://10.211.55.11
发现robots.txt,robots.txt文件告诉我们在服务器上什么文件是可以被查看的。所以作者迫不及待的打开看看
发现了三个目录，带着好奇的心理作者一一打开了，结果发现毛线都没有，只有一张图片，前前后后看了好几遍，确定没有卵用。

经过多种工具进行信息收集，然而什么也没有找到，最后回到主页发现图片上的文字“keep calm and drink fristi”，抱着试一试的心态，居然TM进去了
http://10.211.55.11/fristi/
看到登录窗口，心里激动的一匹，爆破注入走起，然而是我想的太简单了，又返回到原点继续收集信息吧。查看登录页面源码，发现一个名字为eezeepz的留言和一段加密过的字符串。
一看就是base64编码，赶紧拿到bp的decoder模块去解码
解码后发现是乱码，不过看到png的标签，猜测是一个png图片，好吧，写个脚本解码吧
这里有一个坑，粘贴出来的字符串不是一行，需要手动删除回车。。。
解码出来的是一张png图片，是一串字符串 keKkeKKeKKeKkEkkEk
猜测是密码 结合之前留言的用户名进行测试
好吧 成功登陆进去了 看到一个上传链接，点进去上传个文件试试
只允许上传png、jpg、gif图片，不过既然只有这一个功能，相信一定能传上去shell，经过多次尝试，发现使用.php.jpg可以上传成功并执行，果断传一个一句话shell。
成功了，提示上传的文件在uploads目录下，直接菜刀链接
好吧 拿到了webshell，查看一下是apache权限

提权

接下来就是提权了，目标就是拿到root权限，这里作者想既然是靶机，应该不会让用内核漏洞提权，所以直接放弃内核漏洞提权，尝试继续进行信息收集，在home目录下发现了三个账号目录，amdin、eezeepz、fristigod，其中只有eezeepz目录能进去，查看一下里面文件
发现一个note.txt,查看一下内容，发现是让在tmp目录下建立一个文件名为runthis的文件，系统一分钟自动执行一次
作者直接在kali写了一个python反弹shell的脚本，利用webshell将其下载到靶机的tmp目录下，然后在tmp下建立一个runthis文件，内容为执行下载下来的python脚本。
写好脚本后，利用python开启一个简单web服务，以供靶机下载文件（这里也可以直接利用webshell写到靶机上）
开启简单web服务命令
python -m SimpleHTTPServer 9999
利用webshell进行下载
下载成功，利用kali在本地监听本地的5555端口
命令 nc -lvp 5555

利用webshell写runthis文件 让其执行下载下来的脚本文件

反弹回来一个shell，发现是admin权限，这里我们需要把反弹回来的shell改成交互式的
命令为 python -c ‘import pty; pty.spawn("/bin/bash")’
这里进入admin的目录后。查看文件发现两个特殊的字符串和一个编码的脚本，猜测特殊的字符串是经过编码处理的，好吧，写一个解码脚本
解码后得到两个正常字符串，猜测是密码
这个靶机home目录下有三个账户 这里直接测试登录fristigod账户
命令 su fristigod
密码 LetThereBeFristi!
现在我们拿到了fristigod的权限，想要获得root权限，查看一下当前用户目录，发现好多命令不能用 查看一些当前用户的命令执行历史
命令 history

发现有直接用sudo执行命令，尝试一下，需要输入密码，利用得到的两个密码尝试，居然和用户密码是一个。。。。
密码为LetThereBeFristi!
根据提示内容，尝试执行命令

获取root权限shell
终于获得了root权限，在root目录下发现flag

至此，完成了这次靶机的测试，再次过程中遇到许多坑，但都坚持踏过去了，坚持就是胜利！！！