Hommie
项目地址:https://downloads.hackmyvm.eu/hommie.zip
是一个打包好的镜像文件
注意:导入 ova 时一定要选择我已移动,否则没网
使用 Nmap 扫描出开放服务及操作系统版本
弱口令
FTP
FTP 存在匿名访问
下载文件下来得到这样一条信息
TFTP
使用 nmap 再扫描一遍 UDP 协议的,但是因为 UDP 很慢,所以加上端口限制
--top-ports 40:仅扫描 Nmap 内置列表中最常见的 40 个端口
1 | nmap -sU --top-ports 40 192.168.125.12 |
可以看到开放了 TFTP
连接上去了根据前面的提示信息直接获取该文件
SSH
使用私钥连接该用户
提权
环境变量劫持
查找具有 SUID 权限的文件,发现 /opt/showMetheKey
运行拿到密钥
经过验证发现这就是我们当前用户的密钥
Python 开启 HTTP 服务
把文件拷贝下来
反编译可以看到该文件执行的命令是读取 $HOME/.ssh/id_rsa
字符串提取也能识别到,应该是我看漏了
所以我们可以打环境变量劫持,让它去读取 root 用户的密钥
成功提权
1 | Imnotroot |