VulnHub实战篇三：UD64靶机渗透记录

0x01环境描述

靶机名称：unknowndevice64-1

下载地址：下载地址

攻击机ip：192.168.0.105

靶机ip：192.168.0.106（通过C段扫描获得）

渗透目标：提权至root并读取flag文件

 

0X02渗透过程

使用nmap扫描目标开放端口同时识别服务，使用命令如下。通过扫描我们发现了目标1337端口的http服务以及运行在31337端口的http服务。

nmap -T4  -A  -p1-65535  -v 192.168.0.106

 

浏览器访问一下http服务，主页无有效信息和其他入口，查看源码发现提示“key_is_h1dd3n.jpg”。

查看该图像并将其下载到本地，推测图片中隐写了关键信息，使用binwalk分析一下图片文件结构，未发现文件拼接。之后把我掌握的所有隐写方法都尝试了一遍也没有发现什么有价值的信息。后来看了其他师傅的做法才知道用了strghide这个前所未闻的隐写工具，是在下输了……

Linux安装strghide
apt-get install steghide

 

安装完成后解密图片，隐写竟然还需要密码？！联系图片名字，盲猜一手“h1dd3n“，解密成功。

打开分离出的txt文件，明显的brainfuck编码

用工具解码一下得到一组用@连接的像是账号密码的字符串

拿去登录一下ssh，不出所料登录成功。然而返回的却是一个Restricted Shell，大部分的命令都被禁用了，而且过滤了‘/’。

绕过Restricted Shell的方法有很多种，我的方法可能不是最好的。首先按两下tab键查看一下有哪些可执行命令，我们可以看到vi和export可用，于是我在这里只介绍vi+export绕过的方法。

首先进入vi，输入!/bin/sh，一般情况下这样就可以开启一个正常的shell了，可是在这台靶机中命令依然受限，查看一下环境变量，果然仍处在一个Restricted Shell中，但是/不会被过滤。

接下来事情就简单的多了，直接使用export修改环境变量，之后我们就进入了一个正常的bash。

bash-4.4$ export SHELL="/bin/bash"
bash-4.4$ export PATH="/usr/bin"

查看sudo权限，发现sudo可用，但是仍需要输入root密码，我们使用如下命令生成一个反弹shell，攻击机开启 nc -lvp 6767

这样，我们就以root身份为攻击机开启了一个shell，成功提权至root，并读取到了flag文件

0x03收获

这次的靶机渗透还是比较简单的，过程也比较轻松，相比起前两个参考别人的思路较少，找到了一点成就感。刚开始的隐写也让我找到了之前打CTF的感觉，没想到在渗透测试中还能利用到隐写的知识。