靶机:EMPIRE: LUPINONE
攻击机:
Linux kali 5.10.0-kali3-amd64 #1 SMP Debian 5.10.13-1kali1 (2021-02-08) x86_64 GNU/Linux
信息收集:
map -sS -sV -A -p- 192.168.1.109
目标网站:
22/80端口
robotx.txt 这个很熟悉了
尝试访问一下看看有没有惊喜。
主页访问,是一个图片
网页源码看了下,没啥有价值的发现。
访问robots.txt
继续访问~myfiles。
~FUZZ之后刨出来了secret。字典是我自己GitHub上找的,可以分享,这里不贴链接了,有需要的朋友评论留言,我看到了就会回复链接。
这里源码我也查看了,毫无意义。
这里的话,访问文件是有文件后缀,打算拿ffuf跑一下文件后缀,
ffuf -u 'http://192.168.1.109/~secret/.FUZZ' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -e .txt,.pub,.html,.bak -mc 200
-e后面是接的文件类型。这里贴上使用说明。
扫了很久,才蹦出来一个mysecret.txt,访问一下。
密文了, 这里 看起来像是base加密,没有=,一般就不是base64,
这里还是老地方解密,base的都试了下,最好再base58的字符串模式解开了。
这是得到的私钥,这里保存一个文件。
再用john生成密码本。
/usr/share/john/ssh2john.py password > passwd
进行爆破,这里提示我们用fasttrack进行爆破。
开始爆破, john --wordlist=/usr/share/wordlists/fasttrack.txt passwd
很快就拿到了密码,登陆下ssh、
成功登陆icex64的用户名下。
开始提权,
查看权限情况。
发现了arsene免密码登陆。
还给出了一个python文件的路径。
查看了一下这个python文件,发现他是在调用webbrowser
看看能不能编辑
权限很高了,777的,看看写入一个代码获取shell试试,
这里直接vi进入文件添加或者通过echo输入都行。 echos输入的话会覆盖之前的文件内容。
这里提到了pip,百度一下pip提权,
找到了这个文章,写了如何提权,这里直接利用。
TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF
成功提权。
拿到flag,这道题就结束了,这道题的重点还是工具的利用,以及后续的PIP提权的方法。
因篇幅问题不能全部显示,请点此查看更多更全内容