前期信息搜集

先发现目标主机

对目标主机进行初步的端口扫描，只有两个端口，ssh肯定是放到后面再说的，先试试80端口看看有什么

渗透阶段

打开后发现是一张图片没有任何有用的信息于是决定对该网址进行目录爆破

还是扫出来不少好东西的，既有隐藏的目录信息还知道了靶机上部署的有wordpress

我们一个个看，先是 /dev目录(一个linux上比较重要的目录)发现里面是一句类似于提示的话，翻译过来大概是让我们继续挖掘网站的信息

想到对方可能放的有文本提示或者是网站备份文件等东西，于是进一步进行文件扫描（这里用的是dirb因为dirb对文件比较敏感），虽然只找到了一个但是一看就很有用

访问找到的文件，发现是让我们去做一下php页面的Fuzz（模糊测试）而且还给了一个工具和目标文件

于是我们先明确当前目录下有哪些php文件，发现只有两个

于是去访问了一下github页面发现不是工具而是工具的命令

于是尝试在kali下进行扫描，但是image.php扫到的参数都是一个返回结果显然没用

对index.php进行Fuzz，找到了一个参数的回显不同似乎可以用（这里可以一个个看，也可以直接用wfuzz自带的过滤器去过滤）

尝试用该参数带着location.txt访问index.php，发现似乎是把location.txt给包含出来了，他让我们试着用secrettier360这个参数试试看

这里尝试用file进行文件包含但是失败了

于是用他给的参数带上并带上location.txt这个值但是什么都没有

由于在刚刚的页面有类似文件包含的漏洞合理猜测这个参数可能才是用来文件包含的具体参数，于是对其他php页面尝试用这个参数进行文件包含，发现在image.php页面有反应

于是进行文件包含的测试，发现可以进行文件包含

在包含出来的测试文件（/etc/passwd）里发现了线索于是对目标文件进行文件包含

得到一个密码，想到刚刚找到了wordpress的cms所以准备用这个密码去登录后台页面

但是用admin用户名去登录失败

于是查看主页发现了已有用户，尝试用这个用户进行登录

登录到后台页面

wordpress的常用手法是上传插件和用主题页面写入phpshell，先看看主题编辑能不能写入shell，发现了一个可写的php文件

写入kali自带的shell

通搜索后得到了wordpress的默认主题存储路径

然后通过观察页面可以得到文件名和文件路径

在kali上开个监听端口后访问相应页面得到shell

提权

依据靶机的描述我们需要拿到一个用户的flag和一个root的flag

所以我们先去家目录看看有没有读取用户flag的权限，在/home/saket目录下发现用户flag

接下来就是得到root权限，先试试常规的手法（SUID，内核，自动任务），进行find看是否能SUID提权

发现没有可用于SUID提权的文件

接下来是内核提权，发现是一个很老的内核，可以尝试进行内核提权

找到一个可以用的提权脚本

下载到本地，根据描述直接编译后运行就行了

所以直接传到靶机上编译运行，发现在 /tmp目录下我们的权限较高于是进入 /tmp目录进行提权

发现nc用不了但是wget能用，于是决定在kali上开一个简易服务器用来传输文件

因为靶机上有PHP环境于是我们也用PHP开一个服务器

得到提权文件

提权成功（编译最好在靶机上编译，靶机不能编译再在攻击机编译）

得到flag

提取2

(参考自 https://www.bilibili.com/video/BV1wD4y1C7Da?t=629.0红队笔记师傅的思路)

看了B站上红队笔记师傅对靶机的另一种处理方式（可能也是作者设想的解题方式）感觉用这种出来方式来处理这台靶机会更好的体现靶机考察信息收集的目的，首先在我们拿到靶机的初始权限后（www-data用户）在拿到用户flag的用户目录下可以看到还有一个enc文件而且可以执行就可以想到可能跟OpenSLL有关

所以我们先执行一下这个文件看看效果，发现需要密码用前面得到的密码进行尝试，发现没有任何提示或在当前目录产生效果，合理推测密码不正确或者效果没看到

于是接下来我们就可以从密码下手，由于密码常见文件名都有passwd，password，passlicense等我们无法确定具体是哪一个甚至可能作者在做密码文件时还会有其他命名，但是一般密码类文件都会带有“pass”这个字段

于是我们尝试进行 find看看能不能找到有用的信息

进过筛选有用的大概就是图片里面的这几个，文件也不多那就一个个看

做到这里才想起来没看 /etc/shadow 果然没权限，还是老老实实看文件算了

得到密码，而且看路径作者应该是想让我们通过找备份文件找到这里

文件执行成功，但是发现权限不够要root权限

查看当前用户能不能用sudo去执行文件，发现可以，于是sudo去执行

发现在当前目录下创建了两个文件

发现一个是类似base64的加密文件另一个是关于key的提示，那第一个文件大概率就不是base64的加密了

于是先把秘钥搞出来，依据提示对 ippsec 进行MD5加密

虽然得到了秘钥但是我们对密文的加密方式并不清楚所以，可以进行爆破尝试是哪一种加密方式（太多了手工比较麻烦）

给出脚本（shell脚本不会写直接用python代替一下）

import os

# 先对可能的方法进行处理
method = '''
aes-128-cbc       aes-128-ecb       aes-192-cbc       aes-192-ecb       
aes-256-cbc       aes-256-ecb       aria-128-cbc      aria-128-cfb      
aria-128-cfb1     aria-128-cfb8     aria-128-ctr      aria-128-ecb      
aria-128-ofb      aria-192-cbc      aria-192-cfb      aria-192-cfb1     
aria-192-cfb8     aria-192-ctr      aria-192-ecb      aria-192-ofb      
aria-256-cbc      aria-256-cfb      aria-256-cfb1     aria-256-cfb8     
aria-256-ctr      aria-256-ecb      aria-256-ofb      base64            
bf                bf-cbc            bf-cfb            bf-ecb            
bf-ofb            camellia-128-cbc  camellia-128-ecb  camellia-192-cbc  
camellia-192-ecb  camellia-256-cbc  camellia-256-ecb  cast              
cast-cbc          cast5-cbc         cast5-cfb         cast5-ecb         
cast5-ofb         des               des-cbc           des-cfb           
des-ecb           des-ede           des-ede-cbc       des-ede-cfb       
des-ede-ofb       des-ede3          des-ede3-cbc      des-ede3-cfb      
des-ede3-ofb      des-ofb           des3              desx              
rc2               rc2-40-cbc        rc2-64-cbc        rc3-cbc           
rc2-cfb           rc2-ecb           rc2-ofb           rc4               
rc4-40            seed              seed-cbc          seed-cfb          
seed-ecb          seed-ofb          sm4-cbc           sm4-cfb           
sm4-ctr           sm4-ecb           sm4-ofb           zlib              
zstd              
'''

#去重
method_list = list(set(method.replace('\n',' ').split(' ')))[1::]
text = 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj'\
'8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4='
f = open('./a','w')
f.write(text)
f.close()
# ippsec的md5值
p2 = '366a74cb3c959de17d61db30591c39d1'
# 生成16进制的key
payload = []
for i in p2:
    payload.append(hex(ord(i))[2::])
fin_paylaod = ''.join(payload)
for i in method_list:
    m = '-'+i
    print('\n\n\n')
    os.system(f'openssl enc -d {m} -a -K {fin_paylaod} -in a')
    print('\n\n')

得到解密结果，给了一个密码

想到靶机开的有ssh端口而且在 /home 目录里面还有一个用户到现在也没用使用，于是想着用 ssh 登录相关账户，结果不行

仔细阅读得到的东西发现是 victor写给 saket的，所以说这个密码应该是 saket的，尝试用 saket登录 ssh

成功登录

登录后先查看 saket是否有 root权限，发现只有一个文件可以 sudo以 root权限执行

尝试执行，结果是一句垃圾话和一个文件没有找到的提示

于是去 /tmp 目录下面创建一个相应文件，再次执行文件结果显示 /tmp/challenge 权限确认，猜测可能是用root权限去运行 /tmp/challenge 文件，向文件写入一个 shell 再执行试试（记得给文件加上执行权限）

得到 root权限与 rootflag

PS

这个靶机适合当信息收集和fuzz的靶机，深刻体会到信息搜集才是渗透测试的精髓