打开VMware 打开靶机,接入NAT模式,开启靶机后发现自己已经给出IP地址192.168.13.131
信息收集
使用nmap对靶机进行信息探测nmap -sV 192.168.13.131
发现开启22SSH端口和80http端口
首先查看80端口,发现只有一张图片
查看源码也没有什么有用的信息
之后对他的目录进行爆破,使用dirmap进行目录探测发现一个robots.txt
访问之后发现存在一个文件夹~myfiles
访问之后发现出现404,查看源代码叫我继续尝试。
打开另外一个manual目录发现是APACHE服务器搭建的
在旧版本的Apache服务器中,~ 指代用户主目录,我们可以尝试找到与此相似的路径,使用wfuzz工具对其路径进行测试,发现~secret目录
wfuzz -c -z file,/usr/share/wordlists/wfuzz/general/common.txt --hc 403,404 http://192.168.13.131/~FUZZ
-c:此参数用于显示颜色输出,使结果更易读。
-z file,/usr/share/wordlists/wfuzz/general/common.txt:使用这个参数指定了一个字典文件作为爆破时的备选路径列表。在这里,字典文件的路径是/usr/share/wordlists/wfuzz/general/common.txt。-z参数用于指定字典类型,这里是一个文件。
--hc 403,404:这个参数定义了一个逗号分隔的状态码列表,用于过滤响应。在这里,它告诉wfuzz忽略状态码为403和404的响应。这样做是为了排除一些已知的错误页面或受限制的目录。
http://192.168.164.190/~FUZZ:这是目标URL,其中FUZZ是一个占位符,wfuzz将使用字典中的每个条目替换它,进行目录爆破。
在浏览器中打开该路径~secret/发现一段文字
Hello Friend, Im happy that you found my secret diretory, I created like this to share with you my create ssh private key file,
Its hided somewhere here, so that hackers dont find it and crack my passphrase with fasttrack.
I'm smart I know that.
Any problem let me know
Your best friend icex64
翻译一下就是:
你好朋友,我很高兴你找到了我的秘密目录,我创建了这样与你分享我的创建ssh私钥文件,
它隐藏在这里的某个地方,这样黑客就不会找到它并使用fasttrack破解我的密码。
我很聪明,我知道这一点。
任何问题让我知道
你最好的朋友 icex64
上面称这是一个秘密目录,这里隐藏了他创建的ssh 私钥文件,并且得知用户名为icex64。接下来继续在该路径下搜索文件,得到.mysecret.txt文件
wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hc 404,403 -u http://192.168.13.131/~secret/.FUZZ.txt
-w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt:使用这个参数指定了一个字典文件作为爆破时的备选路径列表。在这里,字典文件的路径是/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt。-w参数用于指定字典文件。
.txt 是指定目录后缀
最开始以为是base64编码,然后拿去解码发现不对
然后将他放入随波逐流里面进行解码发现base58可以解出来
发现这是一个ssh的私钥,这样就可以用上靶机的22端口了
在本地创建文件key,将私钥保存到其中,然后使用john工具破解密码
/usr/share/john/ssh2john.py key > keyhash
/usr/share/john/ssh2john.py:这是John the Ripper工具包中的一个脚本,专门用于将SSH私钥转换为John可识别的哈希格式。
key:这是SSH私钥文件的路径,你需要替换成实际的私钥文件路径。
> keyhash:将脚本的输出重定向到名为keyhash的文件中。这个文件将包含经过转换的SSH私钥哈希。
之前~secret文件有叫我们使用fasttrack字典去爆破
john keyhash --wordlist=/usr/share/wordlists/fasttrack.txt
john:这是John the Ripper工具的执行命令。
keyhash:这是上一个命令中生成的包含SSH私钥哈希的文件。
--wordlist=/usr/share/wordlists/fasttrack.txt:这个参数指定了用于破解的密码字典文件的路径,即fasttrack.txt。John会尝试使用字典中的每个密码进行破解。
发现破解出来密码P@55w0rd!
我们使用之前告诉我们的用户名登录ssh,注意,要先把密钥文件赋予600权限,权限太高了会导致无法登陆
home目录下有第一个flag文件
查看是普通用户,应该需要进行提权,sudo -l发现可以执行一条命令,发现可以运行一个python文件
查看了python文件,发现它引用了webbrowser模块,查看heist.py文件权限,没有修改权限
我们去python目录下看能不能对这个模块进行修改,让它返回一个shell,我们通过find找到该文件的位置,查看其权限,发现可以写入内容。
find /usr/ -name '*webbrowser*'
ls -l /usr/lib/python3.9/webbrowser.py
我们可以直接编辑该文件,写入调用shell脚本(或者反弹shell脚本)
执行获得arsene用户权限,看看他能运行什么
发现他能运行pip命令,我们可以在当前路径下新创建一个目录并打开在里面创建setup.py文件,里面写入我们想运行的python脚本,如反弹shell,然后利用pip install以root权限执行。
Cd /tmp
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > setup.py
sudo pip install .
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py:创建一个Python脚本,其中包含一段代码,它使用os.execl调用执行/bin/sh,并将其输入/输出/错误都连接到终端。这就创建了一个交互式的shell。这个Python脚本被保存为setup.py文件,并放在前面创建的临时目录中。
pip install $TF:通过pip安装前面创建的临时目录中的Python包。由于该包只包含一个脚本文件(setup.py),因此这实际上是在运行setup.py。
进入root目录查看文件有root.txt
扫一扫
183
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
