简介： 不要浪费太多时间跳出框框思考。这是一个直截了当的盒子

1、下载靶场

靶机名称：DEATHNOTE: 1

下载地址：

Deathnote: 1 ~ VulnHub

2、安装靶场

以DC-1为例，将文件解压（一压缩包形式进行下载）。

打开虚拟机，选择解压好的文件导入虚拟机（ vof 版本高于4.0，点击重试即可导入）

导入成功，开启此虚拟机（ 当页面出现 deathnote login 时表示安装成功）。

3、获取靶机的flag

前提：

信息收集

获取 deathnote 的IP地址

命令：netdiscover -r 192.168.108.0/24

由图可知 deathnote 的IP地址是：192.168.108.147/24

端口扫描

命令：nmap -sV -p- -O 192.168.108.147

//-sV：探测打开的端口以确定服务/版本信息，-p-：全端口扫描，-O：启用操作系统检测

//-sS/sT/sA/sW/sM：TCP SYN/Connect()/ACK/Window/Maimon 扫描

//-T[0-5]：设置时间模板（越高越快），-A：启用操作系统检测和版本检测

获取信息如下（操作系统：Linux 3.2-4.9）：

操作系统：Linux 4.15 - 5.6

查看80端口发现访问URl（http://192.168.108.147）之后会跳转到另一个URL（http://deathnote.vuln/wordpress）

绑定该域名和IP地址（deathnote.vuln、192.168.108.14），之后就可以正常访问了

目录扫描

几个可能有价值的URL

根据 rebots.txt 里面的线索，访问查看 important.jpg ，发现查看不了

查看 CMS、中间件等信息（whatweb 192.168.108.147）

使用 wpscan 工具扫描用户（wpscan --url http://deathnote.vuln/wordpress/ --enumerate u）

使用wpscan进行暴力破解

wpscan --url http://deathnote.vuln/wordpress/ -u kira -P 字典

使用工具爬取密码制作字典（cewl http://deathnote.vuln/wordpress/ -w Dnote.txt   ）

结果发现没有，换一个思路试试

仔细看了一下之前扫面描过的目录信息，发现了一个 uploads 文件

继续深挖查看

查看到只有 07 的文件夹里面有文件，发现了两个 txt 的文件

打开查看之后觉得可能是存储账户密码的文件

之前使用 wpscan 获取到的账号 kira 也出现在 user.txt 文件中，所以直接使用这两个文件爆破一下试试

既然前面爆破 wordpress 不成功，那直接尝试爆破一下 ssh 试试，成功爆破出一组用户名和密码（ l、death4me ）

使用用户名密码（ l、death4me ）登录ssh成功

提权

在当前目录下获取到了一份加密的文件

使用brainfuck解密工具进行解密（ Brainfuck/OoK加密解密 - Bugku CTF ）。得到：i think u got the shell , but you wont be able to kill me -kira（ 我想你得到了 shell，但你不能杀了我 —— kira ）

继续收集有用的信息，在 /opt/L/fake-notebook-rule/ 目录下发现了一个名为 hint 的文件

hint 文件：63 47 46 7a 63 33 64 6b 49 44 6f 67 61 32 6c 79 59 57 6c 7a 5a 58 5a 70 62 43 41 3d

一次转换结果（十六进制转换字符串）：cGFzc3dkIDoga2lyYWlzZXZpbCA=

二次转换结果（base64）：passwd : kiraisevil

获取到密码是 kiraisevil ，很可能就是用户 kira 的密码，尝试登录（ kira、kiraisevil ）

成功切换到账号 kira ，查看权限发现可以 sudo 无密码使用最高权限，直接在 root 的家目录下获取到flag