Facker007's blog

vulnhub TenderFoot:1

2021-08-19 分类 作者 Facker007 ~1.62K 字

netdiscover -i eth0扫ip。
扫到之后直接上nmap扫全端口
1.png

自己试了下御剑和dirb确实有些东西没跑出来,装个gobuster和下了个大字典

1
2
3
4
5
装gobuster
https://github.com/OJ/gobuster/releases/download/v3.1.0/gobuster-linux-amd64.7z
7z x gobuster-linux-amd64.7z
cd gobuster-linux-amd64
apt install gobuster

小和中的字典都没跑出来,下个大字典

1
2
3
4
5
6
7
8
字典下载:
	https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt

curl下载失败解决
	https://github.com/hawtim/blog/issues/10

gitzip chrome插件
	https://chrome.google.com/webstore/detail/gitzip-for-github/ffabmkklhbepgcgfonabamgnfafbdlkn/related

curl下字典
2.png

gobuster搭配大字典确实多扫出了一个
3.png

hint源码的最下面看到了一些data
4.png

base32解密hint的内容
4-2.png

fotocd源码的下面有一些data
5.png

brainfuck解密
5-2.png

gobuster扫一下指定的后缀。js文件里找到了用户名。
6.png

搭配上面解密的密码直接登录。查看到第一个flag(user1.txt)
7.png

发现旁边还有个目录,进去是不断套娃。
8.png

一个压缩包,一个txt。
9.png

也是多重套娃,zip2john算出压缩包的hash值,然后john在破解

1
2
3
zip2john gift.zip > gift.hash
john --wordlist=/usr/share/wordlists/rockyou.txt gift.hash
john gift.hash --show

9-2.png

查看礼物
10.png

1
2
find / -perm -u=s -type f 2>/dev/null   //找suid的文件
/opt/exec/chandler       //执行文件

11.png

找到第二个flag(user2.txt)

1
2
因为有一些会显示权限不够,所以直接2>/dev/null。取消报错
find / 2>/dev/null -name user2.txt

12.png

同级文件夹下找到了note.txt,里面有一串base32。直接解密
13.png

直接用刚刚的chandler执行sudo -l不行。就用base32解出来的密码ssh登录了
14.png

1
2
3
4
sudo -l    //查看可以执行sudo命令的程序
ftp提权
sudo -u root
!/bin/bash

15.png

and,最后的flag。已经cat了(proof.txt)
final.png

其他参考:
1.参考带佬链接
https://www.infosecarticles.com/tenderfoot-vulnhub-walkthrough/

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可
最后编辑:2021-08-21