这个靶场是群友推荐的一个综合靶场,是一个对渗透新手很友好的靶场。而且,该靶场包含了渗透测试的信息收集,漏洞利用和权限提升的全过程,对新手理解渗透测试的流程有很好的帮助。
靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Hundred
靶场基本情况:
KALI靶机:192.168.1.3/24
主机:192.168.1.146/24
目标:普通用户flag和管理员flag
信息收集阶段:
nmap -sn 192.168.1.0/2
sudo nmap -v -T4 -p- -A -oN nmap.log 192.168.1.146
nmap -A 192.168.1.146
这里我们看到开启了21端口,22端口和80端口:
漏洞利用阶段:
我们连接下21端口:
用户名和密码都是ftp,然后查看当前目录文件,可见密钥文件和users.txt文件。
其实用户名是ftp,密码是什么,都可以登录!
![1644452214_62045976d2f89a44f752f.png!small?1644452223832](https://image.3001.net/images/20220210/1644452214_62045976d2f89a44f752f.png!small?1644452223832)
这里采用mget,将所有文件下载到本地!这里采用mget可以一次性下载多个文件!
![1644452227_620459833c56b352615ac.png!small?1644452235887](https://image.3001.net/images/20220210/1644452227_620459833c56b352615ac.png!small?1644452235887)
id_rsa文件:私钥是个兔子!
![1644452240_6204599089a8d1f134f64.png!small?1644452249083](https://image.3001.net/images/20220210/1644452240_6204599089a8d1f134f64.png!small?1644452249083)
公钥文件,看着挺正常!
![1644452248_62045998a64f51c48cf7c.png!small?1644452257382](https://image.3001.net/images/20220210/1644452248_62045998a64f51c48cf7c.png!small?1644452257382)
接下来,查看下id_rsa.pem文件!这个像是私钥文件!
![1644452258_620459a24e2f0420405a2.png!small?1644452266916](https://image.3001.net/images/20220210/1644452258_620459a24e2f0420405a2.png!small?1644452266916)
然后,查看用户名文件!最后那个感谢的像是真正的用户名!
![1644452269_620459ad2d0f0775bf920.png!small?1644452281839](https://image.3001.net/images/20220210/1644452269_620459ad2d0f0775bf920.png!small?1644452281839)
可以这里我们试着用着这个私钥文件通过SSH登录下hmv这个文件!
嘿嘿嘿,不行!
![1644452277_620459b528d91e0ca1a1a.png!small?1644452285796](https://image.3001.net/images/20220210/1644452277_620459b528d91e0ca1a1a.png!small?1644452285796)
这条路暂时不同,接着咱们看下那个开放的80端口,直接访问下看看!!!
一个方块?
![1644452285_620459bd728b866c1d0ae.png!small?1644452294141](https://image.3001.net/images/20220210/1644452285_620459bd728b866c1d0ae.png!small?1644452294141)
![1644452289_620459c14b726bc42797f.png!small?1644452297804](https://image.3001.net/images/20220210/1644452289_620459c14b726bc42797f.png!small?1644452297804)
貌似出题人,打靶场打的魔怔了!
查看源代码,发现了端倪!
![1644452296_620459c8759dff1c0e23d.png!small?1644452304983](https://image.3001.net/images/20220210/1644452296_620459c8759dff1c0e23d.png!small?1644452304983)
上面是个文件,下面是个目录!?先下载下来看看
wget http://192.168.1.146/h4ckb1tu5.enc
这个页面作为一个整体告诉我们可以通过这个key值获取一个目录。而且,我们也可以从logo图片获取一些信息通过图片隐写术。回到这个key值,我们可以通过RSA私钥和OpenSSL rsautl解码信息。通过解码信息获取一个文件。
接下来,我们用私钥文件和下载下来不知道啥玩意的文件生成目录!
![1644452307_620459d39ad669a58b233.png!small?1644452316150](https://image.3001.net/images/20220210/1644452307_620459d39ad669a58b233.png!small?1644452316150)
访问下看看!192.168.1.146/,方向没错!!!
![1644452319_620459dfaf49922a794c2.png!small?1644452328214](https://image.3001.net/images/20220210/1644452319_620459dfaf49922a794c2.png!small?1644452328214)
查看源代码?啥也没有?
![1644452326_620459e669f70e8a136af.png!small?1644452334988](https://image.3001.net/images/20220210/1644452326_620459e669f70e8a136af.png!small?1644452334988)
网站的目录扫描有要点,一层一层的扫描!!!
来个超级字典!
扫一波目录:
gobuster dir -w /root/Web-Content/common.txt -u http://192.168.1.146/softyhackb4el7dshelldredd/
![1644452341_620459f5ccf11adfeb70d.png!small?1644452350436](https://image.3001.net/images/20220210/1644452341_620459f5ccf11adfeb70d.png!small?1644452350436)
然后,把这个私钥下载下来:
wget http://192.168.1.146/softyhackb4el7dshelldredd/id_rsa
![1644452350_620459fe73c8b59bb9cbb.png!small?1644452358985](https://image.3001.net/images/20220210/1644452350_620459fe73c8b59bb9cbb.png!small?1644452358985)
这次登录试下!两个问题:
- too open需要将私钥的权限改为600
- 这个id_rsa需要密码
![1644452358_62045a0648d2a3a619b74.png!small?1644452366904](https://image.3001.net/images/20220210/1644452358_62045a0648d2a3a619b74.png!small?1644452366904)
接下来,需要搞定这个rsa的密码!!!!
我们先把这个logo图片下下来!!!
wget http://192.168.1.146/logo.jpg
这里我们需要安装一个图片隐写工具:
下载完:安装下:
dpkg -i stegseek_0.6-1.deb
安装过程中可能缺少部分组件:
apt –fix-broken install
安装完毕:采用先前的user.txt,对logo图片进行解密!
stegseek logo.jpg users.txt -xf output
![1644452374_62045a16e5d2cfcf67972.png!small?1644452383516](https://image.3001.net/images/20220210/1644452374_62045a16e5d2cfcf67972.png!small?1644452383516)
这就是私钥的密码了!!
d4t4s3c#1
ssh -i id_rsa hmv@192.168.1.146
![1644452388_62045a24935d18187952a.png!small?1644452405285](https://image.3001.net/images/20220210/1644452388_62045a24935d18187952a.png!small?1644452405285)
终于进来了!!!!
权限提升阶段:
接下来,root权限提升:
在这台VM上root的权限提升很容易。这个/etc/shadow文件对任何人可写。因为我们可以通过修改这个文件来获取root的密码。
以下链接介绍了/etc/shadow文件的组成:
因为我们不需要读/etc/shadow这个文件,我们只需要复写它。
因此,我们把密码修改为root,如下:
1 生成密码root的加密值
openssl passwd # enter new password “root”
2 将root的加密值导入到/etc/shadow的root用户格式中
echo root:qdbEWfKM1ov2g:18844:0:99999:7::: > /etc/shadow
3 切换为root,输入密码root
su -l
完事了,这个难度是easy,其实也不简单。
本文作者:知非安全实验室, 转载请注明来自FreeBuf.COM
请登录后查看评论内容