介绍
系列:Connect The Dots(此系列仅此一台)
发布日期:2019年10月21日
难度:初级-中级
Flag : 2个,普通用户的user.txt和root用户的root.txt
学习:
- nfs 检测
- jsfuck 编码解密
- 摩斯密文解密
- getcap 文件分析
- tar 打包文
靶机地址:https://www.vulnhub.com/entry/connect-the-dots-1,384/
信息收集
主机发现
nmap -sn 192.168.40.0/24
主机信息探测
信息探测:nmap -A -p- 192.168.40.149,开放了21、80等端口。
测试挂载-失败
nmap的扫描结果中有一些跟RPC相关的服务,可以试着挂载一下,看看能不能获取什么信息。
- 获取 nfs 服务器的目录列列表:
showmount -e 192.168.40.149 - 挂载共享目录:
mount -t nfs 192.168.40.149:/home/morris baji
挂载成功 但是不能访问.ssh 目录
测试网站
在测试挂载的时候,得知有一个用户是morris,通过网站得知还有一个用户是norris。根据网站描述得知网站可能有备份文件啥的,一会需要做个目录扫描。
目录扫描
gobuster dir -u http://192.168.40.149 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt
经过测试得知,也就/mysite目录下的文件有点用,里面有一个注册页面,暂时不知道怎么玩的,查看页面源代码,发现引用的一些文件就是/mysite目录下的。
而/mysite目录下有一个文件较为特殊,经过查询得知是 jsfuck 编码的文件
尝试获取文件中的值。
解码jsfuck
http://codertab.com/JsUnFuck
得到了一个密码:TryToGuessThisNorris@2k19,在测试挂载时得知有一个用户morris,在打开网站80端口时候,得知存在一个用户norris。根据密码得知这个密码对应的用户应该是norris
SSH登录
第一个Flag
ssh norris@192.168.40.149 -p 7822
信息收集
看到有个ftp的文件夹,想到靶机开启了ftp服务,就通过连接ftp的方式下载下来文件吧(虽然也能用nc、python来传)
看一下图片里面是什么玩意,发现了摩斯密码
摩斯密码解密:https://gchq.github.io/CyberChef/
得知存在一个叫SECRETFILE的不知道是文件中(也有可能是文件夹)
经过搜索测试,/var/www/html/目录下存在一个名为secretfile的文件。查看此文件,说了一些无关痛痒的话,在/var/www/html/目录下发现了swp文件,根据secretfile的描述,应该就是.secretfile.swp
直接查看此文件时被拒了,没关系,文件既然放在这个目录下,应该是可以通过web下载的。下载下来之后,查看文件内容得知blehguessme090应该是个密码。
查看靶机的密码文件,由于norris的密码已知了,因此 blehguessme090 应该是 morris 的密码
新的SSH登录
然而,依旧是掉进死胡同,没啥有用的信息。
搜索一下有没有一些经过特殊处理的文件
/sbin/getcap -r / 2>/dev/null
发现了/usr/bin/tar,后面那段文字cap_dac_read_search+ep的含义是忽略所有对读、搜索操作的限制
使用tar变相提权
使用tar打包root家目录下的文件,借此实现读取root家目录文件的目的。
使用morris账号打包被拒绝,没关系,还有norris账号呢
tar -zcvf /tmp/root.tar.gz /root # 打包文件
tar -zxvf /tmp/root.tar.gz # 解压文件
第二个Flag
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134252.html
