Madness
你会被疯狂迷住吗?
常规的一波NMap全端口扫描,开放了22,80端口,猜测入口就是Web应用了。
NMap我习惯扫描全端口后用-A,再指定端口复扫一边,会有意想不到的收获。
nmap -sV 10.10.72.135 -p-
nmap -A 10.10.72.135 -p22,80
访问80端口,是个apache的默认页面。但是有一个点有异常就是这个页面上的图片出现错误,有鬼
查看一下源代码,发现一行注释说我们永远找不到它。这不是关键,我是想看那张图片为什么是错误的。
查看<img>标签内,是一张名为thm的图片。这张图片就是线索了
再查看源代码的前也用了dirbuster扫了网站目录,没有发现线索
dirb也扫了,没有线索就不贴图了。我习惯两个一起扫
回到图片,用wget 下载刚刚张thm.jpg的图片下来
用xxd 查看图片的头的代码,发现这个文件头被iu该过,这是Png图片格式的头,后面也有写
xxd thm.jpg | head -n 1
下面是常见的图片头的格式
png
89 50 4E 47 0D 0A 1A 0A
gif
47 49 46 38 39 61
JPG
FF D8 FF E0 00 10 4A 46 49 46
用hexeditor来修改图片的头
hexeditor thm.jpg
这些就是修改后的样子,然后把图片保存为thm2.jpg
图片可以查看了,里面好像有些内容
上有写着隐藏目录为/th1s_1s_h1dd3n
访问隐藏目录,发现里面让我们输入secret(秘密),秘密是什么?
不管,现扫目录,看下有没有发现。这里有个小细节被我忽略了,这个默认页面是php页面,说明可以传参进去的。
忽略了这个小细节,卡了一段时间
这里显示秘密在0-99之间,但是没想到秘密在哪
后来在用burp爆破目录的时候想到了,(我以为0-99是User-Agent或者是目录传值过去)。显然不是
想到了Secret可能是个参数名,赶紧用试一下。果然在爆破到73时出现了变化
高兴的有点早,这一串y2RPJ4QaPF!B是个啥。。。
是一串密码?账号呢。。。
想了好久也想不出个结果,偷偷瞄了一眼别人的通关文章
这是隐写在thm.jpg图片里的文件提取的密码。。。
确实被我忽略了。。。
有了一个账号,但是txt里说没那么容易
正在想找不到线索的时候。突然想起来还有一个小提示没有看。里面提示的是用户名被ROT加密了
这个简单,把账号放在网络厨房里解密一下 https://gchq.github.io/CyberChef/
得到一个看起来像是正确的账号
有了账号和密码之后就马上去登录,但是没有登录成功。
这也是这个靶场最最最恶心的地方。我确实想不到哪里出了错误,为什么用joker用户ssh登录不上去
就算从头理了N遍也没有发现哪里漏了。
过了很久偷偷瞄了一眼答案,发现秘密居然是靶场启动页面那张笑得很邪恶的图片里面。
感觉这个都不涵盖再靶场里面的图片也是藏了线索,过分了。。。
好了,赶紧把靶场做完把。。。
用wget 下载刚刚那副图片,直接提取里面的内容,出现了正真的密码
登录成功后,上传一个提权枚举脚本,lse.sh这个可以再github上找到
运行脚本之后就重点关注绿色的yes!
这里显示有SUID权限的screen提权,查看SUID权限提权的命令
用searchsploit 查看一下相关的脚本
再网上找了有关screen提权的文章,发现这篇写的还不错
大致是,用gcc 编译两个提权脚本再用sh执行,本地编译好后用python搭个临时的网站,用目标机下载
下载过来后,chmod 赋予三个文件777权限,运行root.sh就能拿到root权限
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
