17、Connect-the-dots(VulnHub)

Connect-the-dots

一、nmap

cat ports | grep open | awk -F '/' '{print$1}' | paste -sd ',' > nmap_open_port_total.txt

二、ftp滲透

沒啥

三、web滲透

隨便看看

圖片隱寫

目錄爆破

沒錯，web端給我們的提示就是去找備份

/backups

bootstrap.min.cs

這個是啥

console.log(a)，看來得是把這些給列印輸出出來或者想辦法解密出來

應該是這樣子console.log(b1+b2+b3+b4+b5+b6+b7+b8+b9+b10)，處理後的資料據如下

JSfuck線上解密網站http://codertab.com/JsUnFuck

alert("You're smart enough to understand me. Here's your secret, TryToGuessThisNorris@2k19")

register.html列印出bootstrap.min.cs

發現包含了這個檔案

console.log(b1+b2+b3+b4+b5+b6+b7+b8+b9+b10)

然後再去解密

四、NFS滲透

嘗試掛載目錄

用showmount嘗試檢視有沒有掛載目錄（-e引數用於匯出掛載目錄）

嘗試掛載目錄到本地

確實存在掛載目錄/home/morris，這也說明這個靶機有一個使用者名稱是morris，說不定以後我們能拿到這個賬號的許可權。此時我們新建一個目錄mor，嘗試能不能把靶機的開放目錄掛載連線到mor（-t指定型別nfs）：

發現ssh公私鑰

ssh私鑰連線失敗

還是找我們要密碼

直接使用我們找到的密碼TryToGuessThisNorris@2k19也不行

結合web端最初給我們的介面顯示猜測，N或者M

norris使用者ssh登入成功

ssh norris@192.168.126.222 -p7822
TryToGuessThisNorris@2k19

五、內網滲透

user.txt

/files -> hits.txt.bak

https://pastebin.com/ZV1MLSEE

好像也沒啥

嘗試尋找提權方法

game.jpg.bak

下面還有一堆東西

摩斯電碼解密

不過已經發現有價值的東西

.... . -.-- ....... -. --- .-. .-. .. ... --..-- ....... -.-- --- ..- .----. ...- . ....... -- .- -.. . ....... - .... .. ... ....... ..-. .- .-. .-.-.- ....... ..-. .- .-. ....... ..-. .- .-. ....... ..-. .-. --- -- ....... .... . .- ...- . -. ....... .-- .- -. -. .- ....... ... . . ....... .... . .-.. .-.. ....... -. --- .-- ..--.. ....... .... .- .... .- ....... -.-- --- ..- ....... ... ..- .-. . .-.. -.-- ....... -- .. ... ... . -.. ....... -- . --..-- ....... -.. .. -.. -. .----. - ....... -.-- --- ..- ..--.. ....... --- .... ....... -.. .- -- -. ....... -- -.-- ....... -... .- - - . .-. -.-- ....... .. ... ....... .- -... --- ..- - ....... - --- ....... -.. .. . ....... .- -. -.. ....... .. ....... .- -- ....... ..- -. .- -... .-.. . ....... - --- ....... ..-. .. -. -.. ....... -- -.-- ....... -.-. .... .- .-. --. . .-. ....... ... --- ....... --.- ..- .. -.-. -.- .-.. -.-- ....... .-.. . .- ...- .. -. --. ....... .- ....... .... .. -. - ....... .. -. ....... .... . .-. . ....... -... . ..-. --- .-. . ....... - .... .. ... ....... ... -.-- ... - . -- ....... ... .... ..- - ... ....... -.. --- .-- -. ....... .- ..- - --- -- .- - .. -.-. .- .-.. .-.. -.-- .-.-.- ....... .. ....... .- -- ....... ... .- ...- .. -. --. ....... - .... . ....... --. .- - . .-- .- -.-- ....... - --- ....... -- -.-- ....... -.. ..- -. --. . --- -. ....... .. -. ....... .- ....... .----. ... . -.-. .-. . - ..-. .. .-.. . .----. ....... .-- .... .. -.-. .... ....... .. ... ....... .--. ..- -... .-.. .. -.-. .-.. -.-- ....... .- -.-. -.-. . ... ... .. -... .-.. . .-.-.-

內容如下

HEY#NORRIS,#YOU'VE#MADE#THIS#FAR.#FAR#FAR#FROM#HEAVEN#WANNA#SEE#HELL#NOW?#HAHA#YOU#SURELY#MISSED#ME,#DIDN'T#YOU?#OH#DAMN#MY#BATTERY#IS#ABOUT#TO#DIE#AND#I#AM#UNABLE#TO#FIND#MY#CHARGER#SO#QUICKLY#LEAVING#A#HINT#IN#HERE#BEFORE#THIS#SYSTEM#SHUTS#DOWN#AUTOMATICALLY.#I#AM#SAVING#THE#GATEWAY#TO#MY#DUNGEON#IN#A#'SECRETFILE'#WHICH#IS#PUBLICLY#ACCESSIBLE.

翻譯：嘿，諾里斯，你已經走了這麼遠。遠離天堂現在想去看地獄嗎？哈哈，你一定很想我，不是嗎？哦，該死的，我的電池快沒電了，我找不到我的充電器了，在這個系統自動關閉之前，我在這裡留下了一個提示。我把通往地牢的入口儲存在一個可以公開訪問的“秘密檔案”中。

/secret

/secretfile

wget .secretfile.swp

感覺cat還是有點亂，我們嘗試用strings讀取其中的字串資訊

blehguessme090

這個像是一個關鍵資訊，會不會是一個誰的憑據呢

/etc/passwd

ssh morris

ssh morris@192.168.126.222 -p7822
blehguessme090

linpeas.sh嘗試提權

tar命令讀取root.txt

說白了，就是tar具有特殊高許可權，我們使用tar時哪怕沒有擁有檔案的訪問許可權也可以正常讀取和搜尋。 那我們直接用tar把/root目錄打包，然後再解壓就可以看到flag即root.txt：

tar -zcvf  root.tar.gz /root
tar -zxvf root.tar.gz

CVE-2021-4034核心漏洞提權

這裡我們選擇[CVE-2021-4034] PwnKit，這個漏洞在22年爆出來重大的核心漏洞，一般早期的機子都存在這個漏洞，剛好看linpeas，同樣也給出了這個建議

由於靶機沒有gcc編譯環境，但是存在python3，我們得去找python的版本

專案地址：https://github.com/joeammond/CVE-2021-4034