Connect-the-dots
一、nmap
cat ports | grep open | awk -F '/' '{print$1}' | paste -sd ',' > nmap_open_port_total.txt
二、ftp滲透
沒啥
三、web滲透
隨便看看
圖片隱寫
目錄爆破
沒錯,web端給我們的提示就是去找備份
/backups
bootstrap.min.cs
這個是啥
console.log(a),看來得是把這些給列印輸出出來或者想辦法解密出來
應該是這樣子console.log(b1+b2+b3+b4+b5+b6+b7+b8+b9+b10),處理後的資料據如下
JSfuck線上解密網站http://codertab.com/JsUnFuck
alert("You're smart enough to understand me. Here's your secret, TryToGuessThisNorris@2k19")
register.html列印出bootstrap.min.cs
發現包含了這個檔案
console.log(b1+b2+b3+b4+b5+b6+b7+b8+b9+b10)
然後再去解密
四、NFS滲透
嘗試掛載目錄
用showmount嘗試檢視有沒有掛載目錄(-e引數用於匯出掛載目錄)
嘗試掛載目錄到本地
確實存在掛載目錄/home/morris,這也說明這個靶機有一個使用者名稱是morris,說不定以後我們能拿到這個賬號的許可權。此時我們新建一個目錄mor,嘗試能不能把靶機的開放目錄掛載連線到mor(-t指定型別nfs):
發現ssh公私鑰
ssh私鑰連線失敗
還是找我們要密碼
直接使用我們找到的密碼TryToGuessThisNorris@2k19也不行
結合web端最初給我們的介面顯示猜測,N或者M
norris使用者ssh登入成功
ssh norris@192.168.126.222 -p7822
TryToGuessThisNorris@2k19
五、內網滲透
user.txt
/files -> hits.txt.bak
https://pastebin.com/ZV1MLSEE
好像也沒啥
嘗試尋找提權方法
game.jpg.bak
下面還有一堆東西
摩斯電碼解密
不過已經發現有價值的東西
.... . -.-- ....... -. --- .-. .-. .. ... --..-- ....... -.-- --- ..- .----. ...- . ....... -- .- -.. . ....... - .... .. ... ....... ..-. .- .-. .-.-.- ....... ..-. .- .-. ....... ..-. .- .-. ....... ..-. .-. --- -- ....... .... . .- ...- . -. ....... .-- .- -. -. .- ....... ... . . ....... .... . .-.. .-.. ....... -. --- .-- ..--.. ....... .... .- .... .- ....... -.-- --- ..- ....... ... ..- .-. . .-.. -.-- ....... -- .. ... ... . -.. ....... -- . --..-- ....... -.. .. -.. -. .----. - ....... -.-- --- ..- ..--.. ....... --- .... ....... -.. .- -- -. ....... -- -.-- ....... -... .- - - . .-. -.-- ....... .. ... ....... .- -... --- ..- - ....... - --- ....... -.. .. . ....... .- -. -.. ....... .. ....... .- -- ....... ..- -. .- -... .-.. . ....... - --- ....... ..-. .. -. -.. ....... -- -.-- ....... -.-. .... .- .-. --. . .-. ....... ... --- ....... --.- ..- .. -.-. -.- .-.. -.-- ....... .-.. . .- ...- .. -. --. ....... .- ....... .... .. -. - ....... .. -. ....... .... . .-. . ....... -... . ..-. --- .-. . ....... - .... .. ... ....... ... -.-- ... - . -- ....... ... .... ..- - ... ....... -.. --- .-- -. ....... .- ..- - --- -- .- - .. -.-. .- .-.. .-.. -.-- .-.-.- ....... .. ....... .- -- ....... ... .- ...- .. -. --. ....... - .... . ....... --. .- - . .-- .- -.-- ....... - --- ....... -- -.-- ....... -.. ..- -. --. . --- -. ....... .. -. ....... .- ....... .----. ... . -.-. .-. . - ..-. .. .-.. . .----. ....... .-- .... .. -.-. .... ....... .. ... ....... .--. ..- -... .-.. .. -.-. .-.. -.-- ....... .- -.-. -.-. . ... ... .. -... .-.. . .-.-.-
內容如下
HEY#NORRIS,#YOU'VE#MADE#THIS#FAR.#FAR#FAR#FROM#HEAVEN#WANNA#SEE#HELL#NOW?#HAHA#YOU#SURELY#MISSED#ME,#DIDN'T#YOU?#OH#DAMN#MY#BATTERY#IS#ABOUT#TO#DIE#AND#I#AM#UNABLE#TO#FIND#MY#CHARGER#SO#QUICKLY#LEAVING#A#HINT#IN#HERE#BEFORE#THIS#SYSTEM#SHUTS#DOWN#AUTOMATICALLY.#I#AM#SAVING#THE#GATEWAY#TO#MY#DUNGEON#IN#A#'SECRETFILE'#WHICH#IS#PUBLICLY#ACCESSIBLE.
翻譯:嘿,諾里斯,你已經走了這麼遠。遠離天堂現在想去看地獄嗎?哈哈,你一定很想我,不是嗎?哦,該死的,我的電池快沒電了,我找不到我的充電器了,在這個系統自動關閉之前,我在這裡留下了一個提示。我把通往地牢的入口儲存在一個可以公開訪問的“秘密檔案”中。
/secret
/secretfile
wget .secretfile.swp
感覺cat還是有點亂,我們嘗試用strings讀取其中的字串資訊
blehguessme090
這個像是一個關鍵資訊,會不會是一個誰的憑據呢
/etc/passwd
ssh morris
ssh morris@192.168.126.222 -p7822
blehguessme090
linpeas.sh嘗試提權
tar命令讀取root.txt
說白了,就是tar具有特殊高許可權,我們使用tar時哪怕沒有擁有檔案的訪問許可權也可以正常讀取和搜尋。 那我們直接用tar把/root目錄打包,然後再解壓就可以看到flag即root.txt:
tar -zcvf root.tar.gz /root
tar -zxvf root.tar.gz
CVE-2021-4034核心漏洞提權
這裡我們選擇[CVE-2021-4034] PwnKit,這個漏洞在22年爆出來重大的核心漏洞,一般早期的機子都存在這個漏洞,剛好看linpeas,同樣也給出了這個建議
由於靶機沒有gcc編譯環境,但是存在python3,我們得去找python的版本
專案地址:https://github.com/joeammond/CVE-2021-4034
