学长的任务罢了5-drippingblues

扫描打点

匿名连一下 ftp：

get 下来看一下，发现有密码， fcrackzip 爆破试试：
1
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip
得到密码 072528035，解压得到两个文件：

至于这句话什么意思不知道

还有个 secret.zip 爆破不出来

看 $80$ 端口，根据主页得到两个可能有用的用户名 travisscott thugger ，nmap 提示有 robots.txt：

看到 ssh 的密码是这个歌词里面的黑哥词汇拼一块再 md5

看起来是最尊重的一集：

78f342d0dea18391b7f6cbde99a2718f

然而两个用户名都没登上，继续看别的：

robots.txt 中的另一个地址 /etc/dripispowerful.html 登不上去，但理论上应该可以访问到的

试了试文件包含也看不到，偷看wp发现这里要用 drip 参数名：

得到了个密码 imdrippinbiatch ，~~感觉攻击性有点强吧~~

用这个密码连 ssh ：thugger:imdrippinbiatch
找进程的 CVE 提权
- sudo -l
  
  无权限
- find / -perm -u=s 2>/dev/null
  
  好多东西，看了一圈没看到什么特殊的
- uname -a
  
  Linux drippingblues 5.11.0-34-generic #36~20.04.1-Ubuntu SMP Fri Aug 27 08:06:32 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
  
  但没有 gcc 环境，不能提权
  
  耻辱看wp，发现这里要 ps aux 查看进程，然后找到这个东西：
  
  ~~感觉是纯要经验吧，没经验真找不到（？~~
  
  要利用 polkit 的漏洞
  
  以马后炮的经验来看，在必应搜索 linux中可用于提权的进程 的第三页可以看到这个框架的相关信息
  
  找到这个 poc 的相关信息
  
  ~~然后当脚本狗~~ 不用脚本我手打吗
  
  所幸靶机上有 python 环境
  
  然后本地开服务器，wget 到脚本，运行即可提权