Vulnhub-DEATHNOTE: 1

一、概要

攻击机地址：192.168.56.101
靶机地址：192.168.56.106
靶机下载地址：https://download.vulnhub.com/deathnote/Deathnote.ova

二、主机发现

sudo arp-scan -l

我本机的地址时101，很明显106就是靶机的地址

三、信息收集

1）nmap扫描

nmap扫描目标主机

sudo nmap -sS -A -T4 192.168.56.106    //半开放扫描需要root权限，后面是脚本扫描

可以看到ssh和web服务是开着的，思路就来了

大概就是web端搜集信息找到ssh账号密码，ssh登录，然后提权

2）本地host域名解析

访问靶机的web服务，会重定向到以下这个域名，无法解析

这种情况我们需要把这个域名的解析信息添加到本地的hosts文件中

windows hosts文件路径：C:\Windows\System32\drivers\etc\hosts
linux   hosts文件路径：/etc/hosts

添加完域名解析后，再次访问靶机的web服务即可正常访问

3）页面信息整合

简单整理一下页面的数据和hint

这里可以得到，kira应该就是这个攻击者的id

被攻击者应该就是L

这里的话，iamjustic3可能是一个可用ssh的密码，用户名可能就是kira

点击HINT可以看到给的提示——在服务器上有个notes.txt文件，还提示看L的评论，前面已经看过了，应该是密码

根据这个路径可以明显的识别出来这是个wordpress的网站

四、渗透测试

1）wpscan扫描

使用wpscan简单扫描一下

wpscan --url "http://deathnote.vuln/wordpress/" -e u

扫到一个用户名——kira

这样的话就可以基本确定ssh的用户名和密码了，暂且这样

username:kira
password:iamjustic3

2）nikto扫描

nikto可以扫出来登录页面

这里需要注意一点就是访问时还不能直接在地址栏拼接路径，必须时全的带着http://的地址才行

使用前面得到的用户名密码登录一下试试

3）登录后台

然后就可以直接登录到后台了

根据前面的提示，我们可以找到服务器上的notes.txt文件

4）notes.txt

查看给出的路径

5）ssh密码爆破-hydra

应该是一个字典，我们可以根据前面的用户名L爆破一下

成功爆破出来密码，这里需要注意一点就是我们爆破时使用的用户名要是小写的l，而不是前面给出的大写的L，因为ssh登陆时使用的都是小写的用户名

username:l
password:death4me

ssh连接一手，查看当前目录下的user.txt文件

6）brainfuck解密

明显的brainfuck加密，在线解密一手

Brainfuck/OoK加密解密 - Bugku CTF

似乎并没有什么用

来到opt目录下，找到相关提示

7）cyberchef解密

提示使用cyberchef进行解密

查看wav文件的内容，明显的十六进制编码

显示16进制解码再base64解码，得到一个passwd，好像是kira的密码

8）root权限拿下

切换到kira用户，给的权限什么都能干

切换到root权限，拿到flag

五、总结

1、本地host解析——Linux是在/etc/hosts
2、页面提示信息收集——对于靶机，页面提示有很多，比如页面链接，前端页面源码，路径爆破
3、CMS识别-wordpress——这里主要是根据路径很明显可以识别出来，后面根据nikto爆破的路径也可以识别出来
4、wpscan和nikto工具使用
5、hydra根据字典爆破ssh密码
6、Brainfuck/OoK加密解密——https://ctf.bugku.com/tool/brainfuck
7、cyberchef解密，很好用的一个加解密的工具，还可以down到本地离线使用