Cyborg
A box involving encrypted archives, source code analysis and more.
## 01 信息收集
先用nmap扫描开放端口信息,枚举端口上运行的服务
访问80端口是个apache默认页面,用dirb扫描一下网站目录
发现两个比较可疑的目录/admin和/etc
再用dirbuster扫一遍目录,得到一个压缩包archive.tar,我以为是源码之类的,打开发现不是。
现招其它线索,admin.html里有些聊天记录,这里有几个民资Josh、adam、alex
还有一个被描述的很重要的东西叫music_archive
##02 暴力破解
随后在/etc目录下发现了这个东西,看起来像是一串密文,特征还比较明显
打开hashcat的密文类型进行匹配,匹配到1600 $apr1$
用hashcat暴力破解
暴力匹配rockyou得到明文,用这个密码ssh试了所有得到的类似用户的账号都没有进去。
再回到之前的tar文件,里面有个README,里面指向一个域名
访问一下,理解大概是一个文件储存仓库的东西
再github上也找到了相关的项目,这里有个安装包,我们下载来看看
运行borg就会出现帮助文档
##03 USER
根据文档用list 查看目录下的文件,密码用刚刚破解得到的hash,有个music_archive
用extract提取出来,密码一样。得到一个alex的文件
看下alex的目录结构类似于“home”目录
翻了目录得到alex的账号和密码
##04 ROOT
ssh登录到目标机上,首先用sudo -l查看具有sudo权限的命令,有个/etc/mp3backups/backup.sh
查看文件所有者是alex,加个可写权限
在文件中加入反弹shell命令
攻击机上起监听,没一会shell 就过来了
登录后crontab -l看下定时任务,
发现backup.sh在定时任务中
成功拿到root
flag{Than5s_f0r_play1ng_H0p£_y0u_enJ053d}