环境信息
靶机:192.168.124.153
攻击机:192.168.124.129
打靶过程
nmap 扫描端口及服务
发现开放 22,80,81 端口
访问 80 端口
网站有一个黑客帝国里的角色 Trinity,让我们调查电脑,并提示我们 cypher 把我们锁在 ssh 外了
访问 81 端口
目录扫描
先扫个目录,尽量多用几个工具扫,多换几个字典
发现了有 php 文件
访问 graffiti.php,并尝试输入信息提交
发现输入的内容会显示在该页面上
访问 graffiti.txt 文件,发现输入信息也被写入到了 graffiti.txt 文件中
写入反弹 shell
既然这里有写入操作,那么抓个包看看
这里可以指定写入的文件,那么直接写入一个反弹 shell 咯~
成功写入反弹 shell
nc 监听,访问 shell 成功反弹
在根目录下发现一个 FLAG.txt
发现提示图片及 .htpasswd 密码文件
提示要找到 cypher 的密码,还提示 80 端口有一个隐藏图片 cypher-neo.png
在网站目录下还发现一个图片 trinity.jpeg
查看这两张图片信息,没发现捆绑文件
在靶机里一番寻找,在 /var/nginx/html/ 目录下发现了 .htpasswd 隐藏文件、ignorance-bliss.png、index.html 文件
查看 index.html 内容
提到了“ignorance is bliss”,让我感觉可能跟 ignorance-bliss.png 有关
但又没发现啥东西
爆破密码
查看 .htpasswd 文件,发现了 cypher 的加密密码
既然说了要得到 cypher 的密码,那就尝试用 john、hashcat 爆破,然而均没得到结果,也可能是字典问题
尝试系统漏洞提权
上传 linpeas.sh 检查系统脆弱性
发现了很多漏洞
这里就尝试 CVE-2022-0847(Dirty-pipe)
成功提权至 root
在 root 家目录下发现了 FLAG.txt
补充
感觉这个靶机应该还有其他思路,毕竟前面提示要找到 cypher 的密码
从 cypher 家目录下的 FLAG.txt 的提示可以看出,这个靶机应该是想让我们先得到 cypher 密码登录进来后,再让我们提权到 root 才对
总结
1.目录扫描:多用几个扫描工具,比如 dirb、gobuster、dirsearch 等
2.写入shell:这里是发现了一个页面的写入操作,通过抓包写入反弹 shell
3.密码爆破:.htpasswd 文件中的加密密码可以通过 john、hashcat 等进行爆破,虽然没爆出来
4.脆弱漏洞发现:使用 linpeas.sh 发现靶机系统漏洞,进而提权