MoneyBox打靶笔记
这是在安全牛课堂上的课程《红队/渗透 — 和我一起来打靶》的笔记
靶机简介
靶机名:MONEYBOX: 1
靶机链接:https://www.vulnhub.com/entry/moneybox-1,653/
难度:简单
目标:三个flag
实验ip:10.0.1.6
攻击流程
ps:具体攻击过程请看渗透过程及结果
拿shell
- 使用
nmap
对靶机进行扫描,得知信息:开放21/ftp、22/ssh、80/apache,其中ftp可以匿名访问 - ftp中可以得到一张图片,不能穿透ftp主目录;此图片目测没有有用信息,或是隐写,用
steghide
查看发现需要密码 - 80端口网站主页无有用信息,使用
dirb
目录遍历厚发现存在blogs目录,根据提示可以得到目录名称S3cr3t-T3xt
,之后可以得到一串字符3xtr4ctd4t4
- 通过尝试,流程3的字符是流程2图片的密码
steghide
分离出一个文件,里面是一份邮件(?),其中可以看到疑似用户名的字符串renu
,同时根据邮件内容,知道用户使用的是弱密码- 使用hydra使用rockyou字典爆破22/ssh,得到用户密码
987654321
,拿到shell
提权
- history发现
ssh-keygen -t rsa
、ssh-copy-id lily@192.168.43.80
、ssh -i id_rsa lily@192.168.43.80
等命令,应是使用了ssh的免密登录(发现renu可以直接访问lily的家目录) - ssh免密登录lily
- sudo -l发现
(ALL : ALL) NOPASSWD: /usr/bin/perl
- 使用perl进行提权:
sudo perl -e 'exec "/bin/sh";'
,得到root权限
工具和技术
nmap 端口扫描
steghide 图片隐写
dirb 目录遍历
hydra爆破
rockyou字典
sudo 权限
ssh 免密码登录
perl 提权
渗透过程及结果
flag
第一个flag位于renu家目录
第二个flag位于lily家目录
第三个flag位于root目录
具体过程
-
使用
nmap
对靶机进行扫描,得知信息:开放21/ftp、22/ssh、80/apache,其中ftp可以匿名访问
-
访问22/ftp,下载图片
trytofind.jpg
-
访问80/apache
-
dirb
目录遍历
-
访问blog
-
访问
S3cr3t-T3xt
目录
-
使用得到的字符串
3xtr4ctd4t4
解密trytofind.jpg,得到data.txt
-
看上去renu是个用户,使用了弱密码,就用hydra加rockyou爆破
-
拿到shell
-
没有sudoer权限,没有什么有用的sid文件
-
history
查看命令,看到机子的主人用了什么命令
-
看来是ssh免密登录,发现lily的家目录竟然是可以进去的,验证一下
-
登入lily用户,或许这里提权简单点
-
sudo
可以直接执行perl,这简直就是明示啊
-
perl提权拿到shell
总结反思
主要的知识点是steghide的加密隐写、ssh免密登录、perl提权
用到了的技巧主要有:sudo、history的使用
参考资料
https://gtfobins.github.io/gtfobins/perl/#shell
https://developer.aliyun.com/article/1132156