Five

项目地址:https://downloads.hackmyvm.eu/five.zip

是一个打包好的镜像文件

注意:导入 ova 时一定要选择我已移动,否则没网

使用 Nmap 扫描出开放服务及操作系统版本

文件上传

upload(路径绕过)

扫描目录

访问 upload.html 可以上传文件

上传反弹 Shell 成功,但是默认放在了 uploads/ 目录下面

这个路径访问是 403,抓包看看

将这个 uploads/ 上传位置删除为空,这样子就传到了根目录下面,回显成功

访问拿到 Shell

提权

Python 升级为交互式 Shell

/etc/sudoers 配置不当

检查权限发现给了 cp 命令的 melisa 用户的权限

cp 提权

由于前面没有扫描出开放了 22 端口,本地检查一下

有一个 4444 端口开放,暂时不知道是干嘛的

检查家目录看到用户 melisa 是有 .ssh/ 目录的,说明可以走 SSH 登录

拷贝过来登录 4444 端口发现还是需要密码

1
ssh melisa@127.0.0.1 -p 4444 -i id_rsa

私钥有了,权限也对,应该是公钥出现了问题

但是因为 id_rsa 的权限是 melisa 用户的,我们没法直接查看

解决方法是我们自己创建一个文件,然后用把内容也复制过来

然后重新生成公钥

完整命令如下

1
2
3
4
5
6
www-data@five:/$ cd /tmp
www-data@five:/tmp$ touch id_rsa
www-data@five:/tmp$ sudo -u melisa cp /home/melisa/.ssh/id_rsa /tmp/id_rsa
www-data@five:/tmp$ chmod 600 /tmp/id_rsa
www-data@five:/tmp$ ssh-keygen -y -f id_rsa > authorized_keys
www-data@five:/tmp$ sudo -u melisa cp /tmp/authorized_keys /home/melisa/.ssh/authorized_keys

最后成功登录

man 提权

检查权限发现有很多命令可以使用

使用 man 提权:

  • -P 指定选项指定分页器为 less
1
sudo /bin/man -P less id

1
2
Ilovebinaries
WTFGivemefive