確認(rèn)目標(biāo)機(jī)IP：192.168.38.140

?

進(jìn)行端口掃描：

?

查看一下版本：

?

沒有查到關(guān)鍵信息，以80端口作為突破：

?

拿到提示信息：

接下來嘗試ftp登錄，根據(jù)提示信息：

?

登錄之后，拿到lmao.zip文件

?

嘗試解壓文件，需要密碼：

?

接下來對網(wǎng)址進(jìn)行掃描爆破：

?

打開robots.txt:

?

再次爆破：

?

找到可疑地址：http://192.168.38.140//ok_this_is_it

?

接下來下載照片，通過strings對圖片進(jìn)行分析：

?

沒有關(guān)鍵信息，再找一個網(wǎng)址，同樣的操作：http://192.168.38.140//dont_bother

?

深入此目錄：

?

下載回來這個文件，通過base64解密：

?

使用此字典對lmao.zip進(jìn)行爆破：

?

完事之后解壓lmao.zip，生成noop，查看一下是一個私鑰：

?

?

嘗試鏈接ssh，鏈接失?。?/span>

?

這里利用了cve-2014-6271漏洞：

'() { :;};/bin/bash'

ssh -i noob noob@192.168.38.140 '() { :;};/bin/bash':

?

可以看到這里已經(jīng)鏈接到：

?

查找高權(quán)限文件：

?

可以看到有root可疑文件，運(yùn)行不同的root文件，發(fā)現(xiàn)需要傳入?yún)?shù)，輸入500個A，測試到door2中r00t會崩潰，是我們需要的，摳出來：

?

接下來用ida打開分析一下：

?

可以看到這是一個緩沖區(qū)溢出漏洞，生成隨機(jī)字符串：

?

Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq

又進(jìn)行了一次鏈接，發(fā)現(xiàn)我們的文件已經(jīng)更改了目錄：

?

隨后確認(rèn)溢出點(diǎn)：

?

出現(xiàn)段錯誤，需要進(jìn)行調(diào)試：

?

異常點(diǎn)位置確定：

?

也就是偏移268后+返回地址，首先是268個A+4個B進(jìn)行測試：

?

可以看到eip已經(jīng)成功被覆蓋。接下來就是構(gòu)造我們的payload。填充滑板指令，確定esp地址：

?

所以可以開始構(gòu)造EXP，268+esp地址+16*0x90+shellcode：

?

可以看到，提權(quán)成功。

?

成功獲取到flag：a70354f0258dcc00292c72aab3c8b1e4