学长的任务罢了5-drippingblues

• 扫描打点

  

  

  匿名连一下 ftp：

  

  get 下来看一下，发现有密码， fcrackzip 爆破试试：

  fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

  得到密码 072528035，解压得到两个文件：

  

  至于这句话什么意思不知道

  还有个 secret.zip 爆破不出来

  看 $80$ 端口，根据主页得到两个可能有用的用户名 travisscott thugger ，nmap 提示有 robots.txt：

  

  

  看到 ssh 的密码是这个歌词里面的黑哥词汇拼一块再 md5

  看起来是最尊重的一集：

  

  78f342d0dea18391b7f6cbde99a2718f

  然而两个用户名都没登上，继续看别的：

  robots.txt 中的另一个地址 /etc/dripispowerful.html 登不上去，但理论上应该可以访问到的

  试了试文件包含也看不到，偷看wp发现这里要用 drip 参数名：

  

  得到了个密码 imdrippinbiatch ，感觉攻击性有点强吧

  用这个密码连 ssh ：thugger:imdrippinbiatch

• 提权

  • sudo -l

    无权限

  • find / -perm -u=s 2>/dev/null

    好多东西，看了一圈没看到什么特殊的

  • uname -a

    Linux drippingblues 5.11.0-34-generic #36~20.04.1-Ubuntu SMP Fri Aug 27 08:06:32 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

    但没有 gcc 环境，不能提权

    耻辱看wp，发现这里要 ps aux 查看进程，然后找到这个东西：

    

    感觉是纯要经验吧，没经验真找不到（？

    要利用 polkit 的漏洞

    以马后炮的经验来看，在必应搜索 linux中可用于提权的进程 的第三页可以看到这个框架的相关信息

    

    找到这个 poc 的相关信息

    然后当脚本狗 不用脚本我手打吗

    所幸靶机上有 python 环境

    然后本地开服务器，wget 到脚本，运行即可提权