Vulnhub实战-dr4g0n b4ll靶机

地址:http://www.vulnhub.com/entry/dr4g0n-b4ll-1,646/

描述：这篇其实没有什么新奇的技巧，用到的提权方式就是前面写过的linux通过PATH变量提权的文章:https://www.cnblogs.com/tzf1/p/15408386.html （大家可以去看看！）

这篇就简单过一下吧，没什么特别的技巧了！

1.描述

意思这是一个初级难度的靶机。

2.主机发现，端口探测

还是老样子，先是主机发现，然后扫扫端口看看服务。不出意外依然开发22，80端口

命令如下：

主机探测：

nmap -sn 192.168.33.0/24   (你所在的网段)

端口扫描：

nmap -sS -P- -v 192.168.33.174     (你扫出的靶机地址)

果然不出意外我们扫出了22，80端口，接下来看看web服务吧。

3.web服务发现

还是常规的访问ip看看页面，发现写七龙珠的，当然我也挺爱看七龙珠的，所以我把它读完了。但是没什么用，啥有用信息都没，打开源码看看，发现下面老长的一片空白，肯定有问题，拉到底看看果然一串编码。

猜想它是base64编码，解码看看，解码三次之后如下：DRAGON BALL

（没研究过编码，应该有大佬能一看看出来，唉到时候去看看各种编码特征，太菜了！到时候再补）

目录扫描吧，这里我就懒得扫了，拿几个常用的去试试，果然有robots.txt，内容如下：

又是一段base64，这个我能看出来，解码如下：you find the hidden dir,他说我们发现了一个隐藏目录，那毫无疑问应该就是刚刚那个编码了。copy到url后面访问得到如下页面：

看了看这个目录，secret.txt妈的看半天啥用没有，然后vulnhub目录里面有一个图片跟一个登录页面：

把图片下载下来解码，得到一个ssh密钥

下载命令:

wget http://192.168.33.174/DRAGON%20BALL/Vulnhub/aj.jpg  (图片url)

解码命令：

stegseek aj.jpg /usr/share/wordlists/rockyou.txt -xf output

解码成功如下页面：

得到密钥了，接下来看看用户名是啥，我们可以在那个login.html登陆页面看到这样一句话：

WELCOME TO xmen

拿着用户名xmen 和密钥登录ssh

命令如下：ssh xmen@192.168.33.174 -i id_rsa

注意：

id_rsa 就是刚刚解密得到的output，改了个名字而已，然后还要注意id_rsa这个文件的权限必须是600,记得改一下权限。

登录ssh之后，发现当前用户是xmen，用户目录下面有一个local.txt，这个是第一个flag，还有一个script目录，打开看到两个文件，1.demo.c 2.shell

demo.c内容如下：

到这里看过前面那个linux通过PATH提权的文章的兄弟们应该都明白了吧。

简述一下：demo.c里面有一个ps参数，就跟我们在终端执行的cat，vim一样的，通过在/tmp目录新建一个ps文件，然后ps文件里面写入/bin/bash，再把tmp目录加到PATH环境变量的最前面，因为我们执行ps这个命令是在环境变量中从前往后找的，所以先找到我们自定义的ps，然后demo.c这个文件的拥有者是root，所以以root身份去执行/bin/bash这个命令，成功得到root权限了。

命令如下：

cd /tmp

touch ps

echo "/bin/bash" > ps

chmod 600 ps

echo $PATH

export PATH=/tmp:$PATH

echo $PATH

cd && cd /script

./shell

最后成功获取root权限，root文件夹下面有一个proof.txt，这就是第二个flag了。我们也成功提权到root权限了。结束了！