一、靶机地址
靶机地址:Empire: LupinOne ~ VulnHub
靶机描述:
来,看一看,同样的配方,不同的设计,难度为中等,迷路了就成困难了,不得不说,还真是!
几次陷入了迷茫!废话不多说,开搞。。。。。。
二、渗透过程
确定 ip 地址,靶机 ip:192.168.56.155,本机 ip:192.168.56.146
探测服务,嘿,就俩端口哦,22 和 80,一会拿这个开刀,80 还出了个robot.txt
先看看啥情况,好,一张图,没得了,看源码
嗯~感谢鼓励,没东西了,很棒
图片搞下来看看有没有什么信息,说不定有隐写
没得东西~漂亮! 来,看看这个 robots.txt,里面的目录,可以看看
嚯,好样的,404,会玩
查看源码瞅瞅,我再次谢谢鼓励。。。。自此,没思路了,爆破目录,无果!!!
百思不得其解,室友一句话,fuzz,模糊测试,来,搞搞看,kali 上有俩,ffuf 和 wfuzz,来一手
wfuzz -c -u http://192.168.56.155/~FUZZ -w /usr/share/wordlists/dirb/common.txt
哎哎,你别动,说你呢,找了个苦,眼睛都花了,换 ffuf,好一点!
发现了个隐藏目录,你藏的够深啊!
好提示,用户icex64,存在 ssh 私钥文件,需要利用 fasttrack 破解密码,那怎么找这个文件呢,再 fuzz,使劲 fuzz
ffuf -u "http://192.168.56.155/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200
搞定,出现了,出现了,mysecret.txt,这一大串,来吧,开整,base58 解码
Base58在线编码解码-ME2在线工具
好的,拿到 ssh 私钥,写个文件
然后,需要破解密码,利用 john 去破,先把它转换一下,转成 john 能看得懂的 hash,然后按照它的提示,fasttrack 么,我之前已经破解了一次,再破解,就会显示已经有了,直接 john --show hash 就可以了
/usr/share/john/ssh2john.py ssh_pass > hash
john hash --wordlist=/usr/share/wordlists/fasttrack.txt
john --show hash
用户:icex64 私钥及破解的密码都知道了,进行ssh连接
得得得,又来作妖了,权限出问题了,行吧,我改还不行吗,644 太高了,这个私钥太 open了,我佛了,换 600,可以了吧!输入破解的密码,好的,一发入魂,欧克
发现 user.txt
获得 flag1
3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}
接着来,去 home 底下看看其他用户,之前还看到 arsene 呢,这不,搁这呢,哟~还有提示,还有 secret,还有个 py 脚本,有搞头
查看 note,应该是在说这个 heist 脚本文件呢
看看这个 py,导入了个 webbrowser 包,每次运行这个脚本就会去导包,没思路了,要么就提权到这个用户,运行一下看看
sudo -l 了一下,还真是,能搞,去找一下这个包,用 python 去运行这个文件,只需要在 webbrowser 包里加上自己想执行的文件,重新开个 bash 或者 sh,就能提权到 arsene
来来来,真好,还有 os 包,直接简简单单,os.system,轻松愉快
利用sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py执行
欧克,切换到了用户,利用 pty,建立交互式,也可以之前修改的文件里面写/bin/bash,看一下它的秘密
你是真的长,搞这密码!!!没啥东西了,再接着提权吧,提到 root
这里有 pip 的,在网上看到了 pip 提权的方式,复制粘贴
pip | GTFOBins
TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF
啪的一下,很快啊,就成功提权到 root
查看一下 flag2
3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}
好的,本次渗透愉快的结束了,喜欢的,请点赞,不点也没关系,主要就是为了做分享~
三、思路总结
1、该靶机上上一个的升级款,主要,我觉得应该是机主想让我们了解到 fuzz 的用法和在实际情况中,如果目录爆破没用,说不定可以 fuzz 一下,会有意想不到的结果。
2、思路很常规,但是如果没想到用 fuzz,还是挺麻烦的,不知道该怎么去做
3、在提权的时候,还是要充分利用发现的信息,及时利用,还有就是有时候尽量多用 ls -la 去查看文件的属性和权限大小,有个明确的目标
4、多思考,多去回想每一步,为什么这样做,换其他方式可不可以,效果怎么样
愿大家继续努力 ,继续加油,能挤出点时间写博客实属不易,每天还有论文,各类其他任务,坚持,喜欢的,请点赞,不点没得关系,主要就是为了做分享~承接上面,哈哈哈
![[python库] mistune库的基本使用](https://img-blog.csdnimg.cn/direct/c0a5a7a0d9c94e67bb36e8d051fc6db2.png#pic_center)
