靶机:EMPIRE: LUPINONE
攻击机:
Linux kali 5.10.0-kali3-amd64 #1 SMP Debian 5.10.13-1kali1 (2021-02-08) x86_64 GNU/Linux
信息收集:
这里vmbox直接现实了地址,就不做网段扫描了。直接扫描目标网站的详细端口信息。
map -sS -sV -A -p- 192.168.1.109
目标网站:
22/80端口
robotx.txt 这个很熟悉了
/~myfiles 这应该是个网站目录。
尝试访问一下看看有没有惊喜。
主页访问,是一个图片
网页源码看了下,没啥有价值的发现。
访问robots.txt
http://192.168.1.109/robots.txt
继续访问~myfiles。
查看网页源码,让我们不要放弃,难道还有目录?
wfuzz一下,这里目录名字是~myfile,fuzz的话,我们还是只接~后面的。别问为什么,因为,问就上图。
图一:直接fuzz后面的目录名,毫无反应。
~FUZZ之后刨出来了secret。字典是我自己GitHub上找的,可以分享,这里不贴链接了,有需要的朋友评论留言,我看到了就会回复链接。
这里获取到了两个信息,一个是ssh需要私钥才能登陆,然后这个私钥藏在这里的某个地方,看来还有目录之类的东西啊。然后用户名icex64,
这里源码我也查看了,毫无意义。
这里再继续分析一下这个,他说,创建secret这个目录的原因就是为了分享他的私钥文件,那意思文件肯定是在secret这个目录之下,然后是个文件。
这里的话,访问文件是有文件后缀,打算拿ffuf跑一下文件后缀,
ffuf -u 'http://192.168.1.109/~secret/.FUZZ' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -e .txt,.pub,.html,.bak -mc 200
-e后面是接的文件类型。这里贴上使用说明。
ffuf:Go语言编写的高速Web Fuzzer - FreeBuf网络安全行业门户
扫了很久,才蹦出来一个mysecret.txt,访问一下。
密文了, 这里 看起来像是base加密,没有=,一般就不是base64,
这里还是老地方解密,base的都试了下,最好再base58的字符串模式解开了。
这是得到的私钥,这里保存一个文件。
再用john生成密码本。
/usr/share/john/ssh2john.py password > passwd
进行爆破,这里提示我们用fasttrack进行爆破。
开始爆破, john --wordlist=/usr/share/wordlists/fasttrack.txt passwd
很快就拿到了密码,登陆下ssh、
成功登陆icex64的用户名下。
开始提权,
查看权限情况。
发现了arsene免密码登陆。
还给出了一个python文件的路径。
查看了一下这个python文件,发现他是在调用webbrowser
现在去python目录下查看一下。find命令查到了webbrowser.py的文件,
看看能不能编辑
权限很高了,777的,看看写入一个代码获取shell试试,
这里直接vi进入文件添加或者通过echo输入都行。 echos输入的话会覆盖之前的文件内容。
这里提到了pip,百度一下pip提权,
http://cn-sec.com/archives/260823.html
找到了这个文章,写了如何提权,这里直接利用。
TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF
成功提权。
拿到flag,这道题就结束了,这道题的重点还是工具的利用,以及后续的PIP提权的方法。
2270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
