简介
靶机名称:Slackware
难度:简单
靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Slackware
本地环境
虚拟机:vitual box
靶场IP(Slackware):192.168.56.117
跳板机IP(windows 11):192.168.56.1 192.168.190.100
渗透机IP(ubuntu 22.04):192.168.190.30
扫描
nmap起手
nmap -p 1-65535 -T4 -A -v 192.168.56.11/32
经典组合,但是逆天端口
http
踩点
访问几个网页后发现会重定向到www.slackware.com
,把它加进hosts。
目录扫描
gobuster dir -u http://www.slackware.com:2/ -w /root/Tool/HVV/8_dict/SecLists-master/Discovery/Web-Content/directory-list-2.3-small.txt -b 401-404 -x php,zip,bak,jpg,png,mp4,mkv,txt,html
访问/robots.txt
,提示我们有一个7z.001文件。直接访问没有结果,先记着。
然后/getslack
目录下让我们扫……
这里换着法扫了好久,其他地方也翻了不少,然后用"字典+已知信息"的组合扫到文件
ffuf -u http://www.slackware.com:2/getslack/FUZZ.7z.001 -w $HVV_PATH/8_dict/SecLists-master/Discovery/Web-Content/raft-small-words.txt -c -H "User-Agent: Mozilla/5.0 Windows NT 10.0 Win64 AppleWebKit/537.36 Chrome/69.0.3497.100" -t 30 -fw 14
图片处理
001
说明是分卷之一。逐个下载感觉看不到头,写个脚本解决一下。
#!/bin/bash
# 定义基础URL
BASE_URL="http://www.slackware.com:2/getslack/twitter.7z."
# 从001到100循环下载文件
for i in {001..100}; do
wget "${BASE_URL}${i: -3}" # ${i: -3} 确保数字始终是三位数,例如:001, 002,..., 099, 100
done
然后在图片的末尾找到敏感字符串
trYth1sPasS1993
赌五毛这就是密码,现在就差用户名了
ssh爆破
使用hydra成功爆出用户名
hydra -L $HVV_PATH/8_dict/SecLists-master/Usernames/xato-net-10-million-usernames.txt -p "trYth1sPasS1993" ssh://192.168.56.117:1
提权
用户套娃
进入之后收集了一波信息,发现/home
目录下有很多用户,直接tree扫描一波
发现claor
,kretinga
用户目录下有密码文件。
claor:JRksNe5rWgis
kretinga:lpV8UG0GxKuw
登录claor
后,又通过tree
得到mrmidnight
用户的密码B4ReHPEhmlPt
套娃捏。可以看linpeas提取出来的账号信息,gid稳定增长,一页屏幕还撑不下……
nnd……在手撸到rpj7
的时候得到user.txt
HMV{Th1s1s1Us3rFlag}
正常解法应该是写脚本吧……可惜我不是很清楚该怎么写,只能用这种手段了。
隐写
user.txt藏了点货……
这种特征类型雪花加密
╰─ stegsnow -C user.txt
To_Jest_Bardzo_Trudne_Haslo#
root密码即To_Jest_Bardzo_Trudne_Haslo
递归查询
都最后一步了还藏着掖着,直接grep梭了
HMV{SlackwareStillAlive}