下载镜像后导入到vmware,没啥好说的
发现题目已经给出了ip地址
攻击机IP地址:192.168.2.16
靶机IP地址为:192.168.2.17
使用nmap扫描主机信息
发现靶机只开放了ssh跟http,我们先访问他的网站
只有一张图片,查看源代码也没有什么好的发现
我们扫描一下他的网站目录
发现有robots.txt,我们访问一下,发现有~myfiles文件夹
我们访问一下发现404,但是我们查看源代码发现
叫我们继续尝试,就是暗示我们还有别的文件夹,我们使用wfuzz扫描一下
发现有~secret文件,我们访问一下
Hello Friend, Im happy that you found my secret diretory, I created like this to share with you my create ssh private key file,
Its hided somewhere here, so that hackers dont find it and crack my passphrase with fasttrack.
I’m smart I know that.
Any problem let me know
Your best friend icex64
你好朋友,我很高兴你找到了我的秘密目录,我这样创建的,以与你分享我的ssh私钥文件,
它就藏在这里的某个地方,这样黑客就不会找到它,用快速通道破解我的密码。
我很聪明,我知道。
有问题尽管来找我
你最好的朋友icex64
这里告诉了我们两个信息,一个是用户名是icex64还有一个隐藏文件
使用wfuzz扫描之后无果
猜测可能是有后缀,我们换成ffuz这个工具扫,这个工具是可以自己选择后缀名的
ffuf -u "http://192.168.2.17/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200
扫出来了一个文件,我们访问一下
是一串乱码,看起来像base加密,我们直接去base全家桶一个一个解密
发现base58可以解出来
这样我们就得到了ssh的私钥
使用ssh2john生成一下密码本,然后再用john爆破一下,就可以得到密码了
之前~secret文件有叫我们使用fasttrack字典去爆破
Its hided somewhere here, so that hackers dont find it and crack my passphrase with fasttrack.
john --wordlist=/usr/share/wordlists/fasttrack.txt passwd.txt
发现密码
我们使用之前告诉我们的用户名登录ssh,注意,要先把密钥文件赋予600权限,权限太高了会导致无法登陆
home目录下有第一个flag文件
我们首先看一下这个用户可以运行什么文件
发现可以运行一个python文件
查看了python文件,发现它引用了webbrowser模块,我们去python目录下看能不能对这个模块进行修改,让它返回一个shell
是可以编辑的,我们再使用arsene用户运行一下这个python文件,就可以得到他的权限了
我们再看看他能运行什么
发现他能运行pip命令,我们直接百度pip提权方法
成功获取到root权限,然后去查看root.txt就可以得到flag了
实验到此结束