信息收集
开启deathnote靶机。
通过nmap扫描,发现靶机开启了80端口以及22端口。
地址栏输入ip地址,页面跳转。因此需要配置dns。
配置下/etc/hosts文件。
使用whatweb工具识别下web服务中使用的技术,发现使用的是wordpress框架。
发现http://deathnote.vuln/ 网站下存在关键文件robots.txt。
上面提示到提示信息在important.jpg文件中。
图片无法正确加载出来,那就先下载下来。
发现直接使用cat方法可以直接读取改图片文件。。。无语。
上面提示到登录用户名在user.txt文件中,密码在网站中。
也就是说,用户名可以直接在网站中的一个文件上找到,密码大概率需要爬取网站单词生成密码字典。
在网站上翻了翻,发现存在user.txt文件,并且还有notes.txt文件,找到用户名字典,但notes.txt是不是密码字典,未知。
下一步先爬取网站单词生成字典。
使用cewl工具爬取单词,生成字典。
然后将notes.txt中单词和爬取的单词合并到一个字典中。
爆破http服务
使用hydra爆破登录。
获取到kira用户登录信息。
爆破ssh服务
这上面提到了notes.txt文件,想起来还有靶机ssh服务开启了,尝试下爆破ssh服务。
发现存在账号l。
登录l用户后,发现当前用户目录下存在user.txt文本文件,但内容是加密的。下一步需要解密。
百度后发现这是brainfuck编码。
解密后的内容,没用。。。。。
下一步信息搜集,查找下系统中文件,是否会存在有用的信息。
在/opt/L/fake-notebook-rule目录中找到了有用的信息。hint文件中提示我们用cyberchef解密,但实际上我们发现,这其实是hex编码。
解码后发现这是base64编码,继续解码。
passwd : kiraisevil
系统提权
使用sudo -l显示User kira may run the following commands on deathnote:
(ALL : ALL) ALL
表示当前用户执行任何sudo可以免密执行。
参考链接
cyberchef:https://www.chinabaiker.com/cyberchef.htm.
brainfuck-Ook编解码在线工具:https://www.splitbrain.org/services/ook.
deathnote靶机下载地址:https://www.vulnhub.com/entry/deathnote-1,739/.