RickdiculouslyEasy靶机_rickdiculously easy-CSDN博客

本文链接：https://blog.csdn.net/m0_61995767/article/details/140935832

查看靶机的MAC地址：

信息收集

确定目标主机：

arp-scan -l

扫描靶机开放的端口，发现21端口允许匿名登录，在13337端口中获取到第一个flag{TheyFoundMyBackDoorMorty}

nmap -A -sS -sV -v -p- 192.168.7.52

21端口

访问ftp服务：

ftp 192.168.7.52

ls
get FLAG.txt       #下载此文件

cat FLAG.txt得到第二个fiag{Whoa this is unexpected}

80端口

使用dirb扫描目录

dirb http://192.168.7.52/

拼接/passwords/，先点击FLAG.txt，发现了第三个flag{Yeah d- just don't do it.}

返回再点击passwords.html，查看页面源代码得到一个密码winter

拼接/robots.txt

拼接/cgi-bin/root_shell.cgi，提示在建中

拼接/cgi-bin/tracertool.cgi，提升可以输入ip地址

尝试输入127.0.0.1访问

看到这里瞬间想到pikachu靶场中的RCE漏洞，尝试输入127.0.0.1;id，发现成功输出

查看/etc/passwd,发现标红的三个账号是有登录权限的，分别是RickSanchez、Morty、Summer

127.0.0.1;less /etc/passwd

知道一个三个账号和一个密码，可以分别尝试进行ssh连接，使用22端口发现已关闭，只好使用22222端口，经验证Summer用户可以成功登录

ssh Morty@192.168.7.52 -p 22222
ssh RickSanchez@192.168.7.52 -p 22222
ssh Summer@192.168.7.52 -p 22222

发现了第四个flag{Get off the high road Summer!}；使用cat命令不能查看，所以使用more命令

本想使用sudo提权，但发现summer用户不能够使用

去家目录看看有什么可利用的信息，发现了其它两个用户的文件

第一个用户：Morty

切换到Morty文件，将新发现的两个文件复制到Summer用户的home目录

然后通过用Summer账号登录FTP下载下来

发现了第五个flag{131333}并从文件中得知这个flag是一个新的密码

cat Safe_Password.jpg                  #发现了journal.txt.zip的密码Meeseek
unzip journal.txt.zip

第二个用户：RickSanchez

切换到RickSanchez，再将safe文件复制到Summer用户的home目录，执行safe文件，提示需要使用命令行参数

尝试./safe AAAAAHHAHAGGGGRRGUMENTS，出现乱码

在没有思路的情况下，不妨看看另一个文件ThisDoesntContainAnyFlags，提示说'But seriously this isn't a flag..'明显此地无银三百两，直接尝试刚才获取的flag{131333}，./safe 131333，发现获得了第六个flag{And Awwwaaaaayyyy we Go!}

同时得到Rick的密码提示信息：Rick可能是wheel组成员，具有sudo权限；Rick的密码按照顺序包含：1个大写字母，1位数字，1个旧乐队名字中的单词。

权限提升

首先生成字典；寻找乐队名称，首先百度了Ricks用户的名称，只发现了这是动漫中的一个任务，没有和乐队相关的任何内容。

再搜索Ricks RickSanchez Morty Summer，得到瑞克与莫蒂，并看到一个WIKI介绍，点击进去查看

找到了乐队的名字The Flesh Curtains

生成密码字典：

密码第1位：A-Z中的一个大写字母；

密码第2位：0-9中的一个数字；

密码第3位：The或者Flesh或者Curtains，这3个单词之一

在Kali中使用crunch工具生成字典，生成3次字典，追加写入到rick.txt文件（crunch命令参数说明： crunch 密码最小长度密码最大长度 -t参数是自定义密码输出格式 ,代表大写字母 %代表数字）；

生成包含单词The的密码，写入rick.txt字典：

crunch 5 5 -t ,%The > rick.txt

生成包含Flesh的密码，追加写入rick.txt字典：

crunch 7 7 -t ,%Flesh >> rick.txt

生成包含Curtains的密码，追加写入rick.txt字典：

crunch 10 10 -t ,%Curtains >> rick.txt

将生成的rick.txt字典使用九头蛇爆破

hydra -l RickSanchez -P rick.txt -t 4 ssh://192.168.7.52:22222

爆破成功，得到账号密码：RickSanchez P7Curtains

sudo提权

提权成功！

得到第七个flag{Ionic Defibrillator}

90端口

得到了第八个flag{There is no Zeus, in your face!}

60000端口

nc 192.168.7.52 60000

得到第九个flag{Flip the pickle Morty!}