1.10.10.10.109端口80有web服務鸟整,提示存在網(wǎng)站sparklays
sparklays
2.目錄爆破發(fā)現(xiàn)上傳漏洞熊赖,利用php5后綴可以輕松繞過獲得shell击吱,檢查使用shell的路徑在http://10.10.10.109/sparklays/design/uploads/4444.php5
上傳漏洞
3.在/home/dave/Desktop目錄下發(fā)現(xiàn)多個可以文件疏尿,一個是key密鑰瘟芝,后面解密會用到;二是Servers褥琐,其中包括了ip到主機的對應锌俱,說明存在網(wǎng)段192.168.122.X;三是ssh登錄口令敌呈,dave:Dav3therav3123贸宏。
線索文件
4.對192.168.122.4進行掃描,發(fā)現(xiàn)開放有80磕洪、22端口吭练,做ssh本地轉發(fā)訪問web服務
ssh -L 1080:192.168.122.4:80 dave@10.10.10.109
192.168.122.4上的web服務
5.對網(wǎng)站目錄進行fuzz可以發(fā)現(xiàn)notes目錄,其中包含兩個文件析显,123.ovpn較關鍵鲫咽,內容如下,修改回連ip后在vpnconfig.php頁面粘貼運行叫榕,并在ubuntu主機上啟動nc監(jiān)聽浑侥,可以拿到root@DNS的shell,在 /home/dave 目錄中可以拿到user.txt
DNS shell
6.繼續(xù)搜索主機晰绎,在/var/log/auth.log中可以發(fā)現(xiàn)登錄192.168.5.2的方法!寓落。在/home/dave目錄下可以發(fā)現(xiàn)另一組登錄憑據(jù):dave dav3gerous567
登錄日志
7.首先運行 setsid ncat -l 8888 --sh-exec "ncat 192.168.5.2 987 --source-port=4444" 讓本地8888端口于遠程987端口建立轉發(fā),并通過ssh dave@localhost -p 8888登錄目標荞下,獲取一個普通用戶權限shell
本地轉發(fā)登錄主機
8.在主機上發(fā)現(xiàn)一處敏感文件/home/dave/root.txt.gpg伶选,顯然最后的flag經過加密,而我們在第三步已經獲取了key尖昏,可以用于解密仰税,那么需要做的就是拷貝回來,因此在DNS主機上運行scp -P 5555 dave@localhost:/home/dave/root.txt.gpg /tmp抽诉,最后拷貝回ubuntu主機scp dave@192.168.122.4:/tmp/root.txt.gpg /tmp
9.利用key里的密鑰解密獲得root flag
root
