Vulnhub项目:EMPIRE: LUPINONE

2023-12-13 12:12:29

一、靶机地址

靶机地址:Empire: LupinOne ~ VulnHub

靶机描述:

来,看一看,同样的配方,不同的设计,难度为中等,迷路了就成困难了,不得不说,还真是!

几次陷入了迷茫!废话不多说,开搞。。。。。。

二、渗透过程

确定 ip 地址,靶机 ip:192.168.56.155,本机 ip:192.168.56.146

?探测服务,嘿,就俩端口哦,22 和 80,一会拿这个开刀,80 还出了个robot.txt

先看看啥情况,好,一张图,没得了,看源码

嗯~感谢鼓励,没东西了,很棒

图片搞下来看看有没有什么信息,说不定有隐写

没得东西~漂亮!? 来,看看这个 robots.txt,里面的目录,可以看看

嚯,好样的,404,会玩

查看源码瞅瞅,我再次谢谢鼓励。。。。自此,没思路了,爆破目录,无果!!!

百思不得其解,室友一句话,fuzz,模糊测试,来,搞搞看,kali 上有俩,ffuf 和 wfuzz,来一手

wfuzz -c -u http://192.168.56.155/~FUZZ -w /usr/share/wordlists/dirb/common.txt?

哎哎,你别动,说你呢,找了个苦,眼睛都花了,换 ffuf,好一点!

发现了个隐藏目录,你藏的够深啊!?

好提示,用户icex64,存在 ssh 私钥文件,需要利用 fasttrack 破解密码,那怎么找这个文件呢,再 fuzz,使劲 fuzz?

ffuf -u "http://192.168.56.155/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200

?搞定,出现了,出现了,mysecret.txt,这一大串,来吧,开整,base58 解码

Base58在线编码解码-ME2在线工具

好的,拿到 ssh 私钥,写个文件?

然后,需要破解密码,利用 john 去破,先把它转换一下,转成 john 能看得懂的 hash,然后按照它的提示,fasttrack 么,我之前已经破解了一次,再破解,就会显示已经有了,直接 john --show hash 就可以了

/usr/share/john/ssh2john.py ssh_pass > hash

john hash --wordlist=/usr/share/wordlists/fasttrack.txt?

john --show hash?

用户:icex64 私钥及破解的密码都知道了,进行ssh连接?

得得得,又来作妖了,权限出问题了,行吧,我改还不行吗,644 太高了,这个私钥太 open了,我佛了,换 600,可以了吧!输入破解的密码,好的,一发入魂,欧克

发现 user.txt?

获得 flag1?

3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}

接着来,去 home 底下看看其他用户,之前还看到 arsene 呢,这不,搁这呢,哟~还有提示,还有 secret,还有个 py 脚本,有搞头?

查看 note,应该是在说这个 heist 脚本文件呢

看看这个 py,导入了个 webbrowser 包,每次运行这个脚本就会去导包,没思路了,要么就提权到这个用户,运行一下看看

sudo -l 了一下,还真是,能搞,去找一下这个包,用 python 去运行这个文件,只需要在 webbrowser 包里加上自己想执行的文件,重新开个 bash 或者 sh,就能提权到 arsene?

?来来来,真好,还有 os 包,直接简简单单,os.system,轻松愉快

利用sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py执行

欧克,切换到了用户,利用 pty,建立交互式,也可以之前修改的文件里面写/bin/bash,看一下它的秘密

你是真的长,搞这密码!!!没啥东西了,再接着提权吧,提到 root?

这里有 pip 的,在网上看到了 pip 提权的方式,复制粘贴

pip | GTFOBins

TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

啪的一下,很快啊,就成功提权到 root

查看一下 flag2?

3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}?

好的,本次渗透愉快的结束了,喜欢的,请点赞,不点也没关系,主要就是为了做分享~

三、思路总结

1、该靶机上上一个的升级款,主要,我觉得应该是机主想让我们了解到 fuzz 的用法和在实际情况中,如果目录爆破没用,说不定可以 fuzz 一下,会有意想不到的结果。

2、思路很常规,但是如果没想到用 fuzz,还是挺麻烦的,不知道该怎么去做

3、在提权的时候,还是要充分利用发现的信息,及时利用,还有就是有时候尽量多用 ls -la 去查看文件的属性和权限大小,有个明确的目标

4、多思考,多去回想每一步,为什么这样做,换其他方式可不可以,效果怎么样

愿大家继续努力 ,继续加油,能挤出点时间写博客实属不易,每天还有论文,各类其他任务,坚持,喜欢的,请点赞,不点没得关系,主要就是为了做分享~承接上面,哈哈哈

文章来源:https://blog.csdn.net/weixin_43938645/article/details/134841998
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。