hackmyvm系列5—

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序把安全装进口袋

前言：

hackmyvm打靶系列文章。

本次文章只用于技术讨论，学习，切勿用于非法用途，用于非法用途与本人无关！

所有环境均为在线下载的靶场，且在本机进行学习。

netdiscover -r 192.168.56.0/24

nmap -sV -Pn -sC 192.168.56.150

1650777435_6264dd5b3ab4a525e180d.png!small?1650777435362

1650777552_6264ddd07fadd28268544.png!small?1650777552525

开放了21、22、80端口，对80端口进行目录扫描。

gobuster dir -u http://192.168.56.150/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 60

1650778733_6264e26d9b08dac4750b1.png!small?1650778734207

有一个hidden_text的目录，只有这个目录里面有价值的东西。

1650778776_6264e298dc78d064c95f3.png!small?1650778776910

保存为一个txt进行目录的爆破。

gobuster dir -u http://192.168.56.150/ -w /root/Desktop/dic.txt

1650778895_6264e30f8ff646b5207dc.png!small?1650778895583

查看网页源代码，可以发现ftp的账号和密码。

账号：ftpuser

密码：B0ss_B!TcH

登录ftp发现有两个文件，对其进行下载

id_rsa是秘钥，在note.txt中发现其用户名。

对其进行尝试SSH登录

chmod 600 id_rsa

通过sudo -l发现messenger.sh文件不需要selena用户认证即可运行，进入home目录查看。

尝试写入shell反弹，但是文件不允许编辑，查看文件详情。

1650779432_6264e5288ae1669419dd4.png!small?1650779432627

以selena用户运行此文件 sudo -u selena ./messenger.sh。

获得稳定的shell

python3 -c "import pty;pty.spawn('/bin/bash');"

成功拿到selena用户的shell，可以看见此用户在docker组，因此可以进行提权。

1650779847_6264e6c7d1d3c5fa70ad7.png!small?1650779847824