『vulnhub系列』Deathnote-1

Oboto發表於2024-05-27

『vulnhub系列』Deathnote-1

下載地址:

https://www.vulnhub.com/entry/deathnote-1,739/

資訊蒐集:

使用nmap掃描存活主機,發現主機開啟了22埠和80埠

nmap 192.168.0.*

訪問80埠的web服務,發現apache預設頁面

使用dirsearch 進行目錄掃描

dirsearch -u "http://192.168.0.130"

訪問robot.txt,說提示就在/important.jpg

訪問/important.jpg 頁面,發現沒有東西,檢視原始碼,意思是我們需要的使用者名稱在user.txt中,暫時還找不到user.txt 先按下不表

我們訪問wordpress頁面,發現網頁訪問有問題

檢視原始碼,發現其跳轉是使用的域名,我們在攻擊機上將deathnote.vuln解析到ip地址

這裡使用windows訪問的網站,所以在windows中修改host(C:\Windows\System32\drivers\etc\hosts)檔案,新增一條解析記錄

192.168.0.130 deathnote.vuln

再次訪問頁面,正常了(看夜神月的帥臉)

發現一個可疑的字串,可能是密碼iamjustic3

使用者名稱可能是kira 使用wpscan檢視一下,發現使用者名稱確實有kira

wpscan --url=http://192.168.0.130/wordpress --force -e --plugins-detection aggressive

使用kiraiamjustic3 登入ssh試試,失敗

我們繼續資訊蒐集,發現主頁有一個HINT點選檢視,說是要找到notes.txt或者看L的評論

結果在這個頁面是看不到L的評論的,那還有哪裡可以看呢?沒錯就是後臺

我們還掃描到了一個登入頁面,使用kiraiamjustic3 進行登入

登入成功

發現可以發部落格,我們發一篇部落格可以上傳檔案

發現上傳不了php,但在上傳檔案旁邊,我們看到了一個媒體庫,點開

發現了notes.txt ,然後我們回到管理頁面,進入媒體庫,檢視notes.txt

點選可以看到檔案位置

http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/notes.txt

訪問,我們發現這應該是一個字典,我們儲存到pass.txt

我們使用hydra進行暴力破解,使用使用者名稱kira 爆破失敗

可能是使用者名稱有問題,突然想起來在第一個提示裡說使用者名稱在user.txt中,我們回到發現notes.txt 的目錄下,看看是否有user.txt ,結果是確實有

http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/

我們儲存下來到user.txt檔案中,此時使用user.txtpass.txt進行爆破,成功找到一個

使用者名稱:密碼 l:death4me

hydra -L user.txt -P pass.txt ssh://192.168.0.130

我們使用l的賬號進行登入,成功

我們到處亂逛,終於在/opt目錄下發現L目錄

進入L目錄,發現兩個資料夾一個是kira-casefake-notebook-rule(假的死亡筆記規則)

先進入kira-case檢視,說有一些東西在fake-notebook-rule 資料夾下

fake-notebook-rule 中找到兩個檔案,在hint中得知需要用到cyberchef

那麼另一個檔案就是用來解密的了cat case.wav

63 47 46 7a 63 33 64 6b 49 44 6f 67 61 32 6c 79 59 57 6c 7a 5a 58 5a 70 62 43 41 3d

我們下載cyberchef

https://github.com/gchq/CyberChef/releases/tag/v10.18.6

之後直接點開html,進行解密,得到密碼:(其實是使用了16進位制+base64進行了混合加密,直接解密即可)

passwd : kiraisevil 

切換為kira使用者su kira ,成功

使用sudo -l 檢視使用者可以以root許可權執行的命令,發現是(ALL : ALL) ALL

那接下來就可以隨意發揮了,這裡使用find提權,成功

sudo find /home -exec /bin/bash \;

成果:

在使用l成功登入之後,在其目錄下獲得user.txt

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>>+++++.<<++.>>+++++++++++.------------.+.+++++.---.<<.>>++++++++++.<<.>>--------------.++++++++.+++++.<<.>>.------------.---.<<.>>++++++++++++++.-----------.---.+++++++..<<.++++++++++++.------------.>>----------.+++++++++++++++++++.-.<<.>>+++++.----------.++++++.<<.>>++.--------.-.++++++.<<.>>------------------.+++.<<.>>----.+.++++++++++.-------.<<.>>+++++++++++++++.-----.<<.>>----.--.+++..<<.>>+.--------.<<.+++++++++++++.>>++++++.--.+++++++++.-----------------.

使用brianfuck解密,得到kira的留言

i think u got the shell , but you wont be able to kill me -kira

在kira目錄下也有

cGxlYXNlIHByb3RlY3Qgb25lIG9mIHRoZSBmb2xsb3dpbmcgCjEuIEwgKC9vcHQpCjIuIE1pc2EgKC92YXIp

最後的root目錄下,也有