靶机14 DEATHNOTE: 1
简介: 不要浪费太多时间跳出框框思考。这是一个直截了当的盒子
1、下载靶场
靶机名称:DEATHNOTE: 1
下载地址:
Deathnote: 1 ~ VulnHub
2、安装靶场
以DC-1为例,将文件解压(一压缩包形式进行下载)。
打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)
|
|
导入成功,开启此虚拟机( 当页面出现 deathnote login 时表示安装成功)。
3、获取靶机的flag
前提:
1、已知kali的IP地址(ifconfig) —— kali IP地址:192.168.108.129/24 |
2、deathnote 和kali在同一网段 | 已知 deathnote 所在的网段 —— deathnote IP地址:192.168.108.147/24 |
信息收集
获取 deathnote 的IP地址
命令:netdiscover -r 192.168.108.0/24
由图可知 deathnote 的IP地址是:192.168.108.147/24
端口扫描
命令:nmap -sV -p- -O 192.168.108.147
//-sV:探测打开的端口以确定服务/版本信息,-p-:全端口扫描,-O:启用操作系统检测
//-sS/sT/sA/sW/sM:TCP SYN/Connect()/ACK/Window/Maimon 扫描
//-T[0-5]:设置时间模板(越高越快),-A:启用操作系统检测和版本检测
获取信息如下(操作系统:Linux 3.2-4.9):
端口号 |
服务 |
版本 |
22 |
ssh |
OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) |
80 |
http |
Apache httpd 2.4.38 ((Debian)) |
操作系统:Linux 4.15 - 5.6
查看80端口发现访问URl(http://192.168.108.147)之后会跳转到另一个URL(http://deathnote.vuln/wordpress)
绑定该域名和IP地址(deathnote.vuln、192.168.108.14),之后就可以正常访问了
目录扫描
几个可能有价值的URL
1、http://deathnote.vuln/robots.txt |
2、http://deathnote.vuln/wordpress/wp-login.php |
3、http://deathnote.vuln/wordpress/wp-login.php?redirect_to=http%3A%2F%2Fdeathnote.vuln%2Fwordpress%2Fwp-admin%2F&reauth=1 |
4、http://deathnote.vuln/wordpress/wp-login.php?registration=disabled |
根据 rebots.txt 里面的线索,访问查看 important.jpg ,发现查看不了
查看 CMS、中间件等信息(whatweb 192.168.108.147)
使用 wpscan 工具扫描用户(wpscan --url http://deathnote.vuln/wordpress/ --enumerate u)
使用wpscan进行暴力破解
wpscan --url http://deathnote.vuln/wordpress/ -u kira -P 字典
使用工具爬取密码制作字典(cewl http://deathnote.vuln/wordpress/ -w Dnote.txt )
结果发现没有,换一个思路试试
仔细看了一下之前扫面描过的目录信息,发现了一个 uploads 文件
继续深挖查看
查看到只有 07 的文件夹里面有文件,发现了两个 txt 的文件
打开查看之后觉得可能是存储账户密码的文件
之前使用 wpscan 获取到的账号 kira 也出现在 user.txt 文件中,所以直接使用这两个文件爆破一下试试
既然前面爆破 wordpress 不成功,那直接尝试爆破一下 ssh 试试,成功爆破出一组用户名和密码( l、death4me )
使用用户名密码( l、death4me )登录ssh成功
提权
在当前目录下获取到了一份加密的文件
使用brainfuck解密工具进行解密( Brainfuck/OoK加密解密 - Bugku CTF )。得到:i think u got the shell , but you wont be able to kill me -kira( 我想你得到了 shell,但你不能杀了我 —— kira )
继续收集有用的信息,在 /opt/L/fake-notebook-rule/ 目录下发现了一个名为 hint 的文件
hint 文件:63 47 46 7a 63 33 64 6b 49 44 6f 67 61 32 6c 79 59 57 6c 7a 5a 58 5a 70 62 43 41 3d
一次转换结果(十六进制转换字符串):cGFzc3dkIDoga2lyYWlzZXZpbCA=
二次转换结果(base64):passwd : kiraisevil
获取到密码是 kiraisevil ,很可能就是用户 kira 的密码,尝试登录( kira、kiraisevil )
成功切换到账号 kira ,查看权限发现可以 sudo 无密码使用最高权限,直接在 root 的家目录下获取到flag
靶机14 DEATHNOTE: 1相关推荐
- Test Renderer
Test Renderer 如何引入 import TestRenderer from 'react-test-renderer'; // ES6 const TestRenderer = requi ...
- Python 模块大全(很详细!)
转载:.... Python的模块大全,很全,有详细介绍! 另外附Python两个教程 1. Python详细教程(廖雪峰的官方网站,语言简洁!) 2. Python 进阶教程 (Vamei) 3. ...
- 【SQL注入14】布尔盲注的半自动化实现(基于BurpSuite工具和sqli-labs-less8靶机平台)
目录 1 概述 2 实验简介 2.1 实验平台 2.2 实验目标 3 实验过程 3.1 判断注入点及注入类型 3.2 爆库名(踩坑) 3.3 爆库名(成功) 3.4 爆表名 3.5 爆字段名 3.6 ...
- HA: InfinityStones靶机渗透测试
文章目录 靶机信息 一.信息收集 1.主机发现 2.端口扫描 3.目录扫描 二.漏洞挖掘 1.访问 192.168.1.108 2.访问 /img 目录 3.访问 https 服务(443)端口 4. ...
- 【网络安全】HTB靶机渗透系列之Sniper
介绍 Sniper是一个中等难度的靶机,知识点涉及本地文件包含利用.远程文件包含利用.凭证制作.恶意chm文件利用等. 通关思维导图 侦查 端口探测 首先使用 nmap 进行端口扫描 nmap -Pn ...
- 靶机渗透练习97-hacksudo:ProximaCentauri
靶机描述 靶机地址:https://www.vulnhub.com/entry/hacksudo-proximacentauri,709/ Description Box created by hac ...
- 6-vulnhub靶场-LordOfTheRoot_1.0.1靶机内核提权udf提权缓冲区溢出提权
6-LordOfTheRoot_1.0.1 靶机地址 https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 难度 中等(主要是缓冲区溢出) 1 ...
- VulnHub1:Jangow: 1.0.1靶机入侵
VulnHub1:Jangow: 1.0.1靶机入侵 信息搜集: 扫描端口 发现命令执行漏洞 uname 一句话木马 上蚁剑 提权 方法1 方法2 VulnHub1:Jangow: 1.0.1靶机入侵 ...
- 靶机渗透练习25-Funbox4-CTF
靶机描述 靶机地址:https://www.vulnhub.com/entry/funbox-ctf,546/ Description Groundhog Day: Boot2Root ! Initi ...
最新文章
- iOS 键盘遮挡输入框万能解决方案(多个输入框)
- 减少模型方差的方法借鉴
- Elasticsearch Java 操作client
- mysql数据库中的int类型_MySQL中int(M)和tinyint(M)数值类型中M值的意义
- 不定长内存池之apr_pool
- leetcode - 39. 组合总和
- Coursera Machine Leaning 课程总结
- a*算法的时间复杂度_数据结构与算法系列——时间、空间复杂度
- android list布局,android-为具有不同项目布局的ListViews创建ViewHolders
- 使用akka框架编写RPC框架
- 速看,PMP备考通关宝典来袭
- Simulink仿真---clark变换、反clark变换
- 【pwnable.kr】 passcode
- ps中如何批量修改图片
- Springcloud之OAuth2
- 安全与安心是人类社会产生的两大基石
- Debian firmware:failed to load i915/kbl_dmc解决
- JavaScript DOM编程艺术——综合案例
- Android viewpager在scrollview中的滚动问题
- jQuery-1.9.1源码分析系列(七) 钩子(hooks)机制及浏览器兼容
热门文章
- Pyqt5+PIL在图片上写字
- repeater 控件ajax绑定数据源,ASP.NET数据绑定之Repeater控件
- repeater控件 php,JavaScript Repeater模板控件
- jetbrains rider 一直显示 syncing project templates
- 华为设备流量抑制及风暴控制配置命令
- 如何做软件项目的需求分析....
- 什么是“国家中小企业公共服务示范平台”?
- 苹果4s忘记id密码怎么办_iPhone忘记ID密码怎么办?不花钱,这波操作帮你轻松解决...
- 政策频出 | 明确应用商店职责,聚焦个人信息保护
- Juniper SRX Junos升级