Connect-the-dots
一、nmap
cat ports | grep open | awk -F '/' '{print$1}' | paste -sd ',' > nmap_open_port_total.txt
二、ftp渗透
没啥
三、web渗透
随便看看
图片隐写
目录爆破
没错,web端给我们的提示就是去找备份
/backups
bootstrap.min.cs
这个是啥
console.log(a)
,看来得是把这些给打印输出出来或者想办法解密出来
应该是这样子console.log(b1+b2+b3+b4+b5+b6+b7+b8+b9+b10)
,处理后的数据据如下
JSfuck
在线解密网站http://codertab.com/JsUnFuck
alert("You're smart enough to understand me. Here's your secret, TryToGuessThisNorris@2k19")
register.html打印出bootstrap.min.cs
发现包含了这个文件
console.log(b1+b2+b3+b4+b5+b6+b7+b8+b9+b10)
然后再去解密
四、NFS渗透
尝试挂载目录
用showmount
尝试查看有没有挂载目录(-e参数用于导出挂载目录)
尝试挂载目录到本地
确实存在挂载目录/home/morris
,这也说明这个靶机有一个用户名是morris
,说不定以后我们能拿到这个账号的权限。此时我们新建一个目录mor
,尝试能不能把靶机的开放目录挂载连接到mor
(-t指定类型nfs):
发现ssh公私钥
ssh私钥连接失败
还是找我们要密码
直接使用我们找到的密码TryToGuessThisNorris@2k19
也不行
结合web端最初给我们的界面显示猜测,N或者M
norris用户ssh登入成功
ssh [email protected] -p7822
TryToGuessThisNorris@2k19
五、内网渗透
user.txt
/files -> hits.txt.bak
https://pastebin.com/ZV1MLSEE
好像也没啥
尝试寻找提权方法
game.jpg.bak
下面还有一堆东西
摩斯电码解密
不过已经发现有价值的东西
.... . -.-- ....... -. --- .-. .-. .. ... --..-- ....... -.-- --- ..- .----. ...- . ....... -- .- -.. . ....... - .... .. ... ....... ..-. .- .-. .-.-.- ....... ..-. .- .-. ....... ..-. .- .-. ....... ..-. .-. --- -- ....... .... . .- ...- . -. ....... .-- .- -. -. .- ....... ... . . ....... .... . .-.. .-.. ....... -. --- .-- ..--.. ....... .... .- .... .- ....... -.-- --- ..- ....... ... ..- .-. . .-.. -.-- ....... -- .. ... ... . -.. ....... -- . --..-- ....... -.. .. -.. -. .----. - ....... -.-- --- ..- ..--.. ....... --- .... ....... -.. .- -- -. ....... -- -.-- ....... -... .- - - . .-. -.-- ....... .. ... ....... .- -... --- ..- - ....... - --- ....... -.. .. . ....... .- -. -.. ....... .. ....... .- -- ....... ..- -. .- -... .-.. . ....... - --- ....... ..-. .. -. -.. ....... -- -.-- ....... -.-. .... .- .-. --. . .-. ....... ... --- ....... --.- ..- .. -.-. -.- .-.. -.-- ....... .-.. . .- ...- .. -. --. ....... .- ....... .... .. -. - ....... .. -. ....... .... . .-. . ....... -... . ..-. --- .-. . ....... - .... .. ... ....... ... -.-- ... - . -- ....... ... .... ..- - ... ....... -.. --- .-- -. ....... .- ..- - --- -- .- - .. -.-. .- .-.. .-.. -.-- .-.-.- ....... .. ....... .- -- ....... ... .- ...- .. -. --. ....... - .... . ....... --. .- - . .-- .- -.-- ....... - --- ....... -- -.-- ....... -.. ..- -. --. . --- -. ....... .. -. ....... .- ....... .----. ... . -.-. .-. . - ..-. .. .-.. . .----. ....... .-- .... .. -.-. .... ....... .. ... ....... .--. ..- -... .-.. .. -.-. .-.. -.-- ....... .- -.-. -.-. . ... ... .. -... .-.. . .-.-.-
内容如下
HEY#NORRIS,#YOU'VE#MADE#THIS#FAR.#FAR#FAR#FROM#HEAVEN#WANNA#SEE#HELL#NOW?#HAHA#YOU#SURELY#MISSED#ME,#DIDN'T#YOU?#OH#DAMN#MY#BATTERY#IS#ABOUT#TO#DIE#AND#I#AM#UNABLE#TO#FIND#MY#CHARGER#SO#QUICKLY#LEAVING#A#HINT#IN#HERE#BEFORE#THIS#SYSTEM#SHUTS#DOWN#AUTOMATICALLY.#I#AM#SAVING#THE#GATEWAY#TO#MY#DUNGEON#IN#A#'SECRETFILE'#WHICH#IS#PUBLICLY#ACCESSIBLE.
翻译:嘿,诺里斯,你已经走了这么远。远离天堂现在想去看地狱吗?哈哈,你一定很想我,不是吗?哦,该死的,我的电池快没电了,我找不到我的充电器了,在这个系统自动关闭之前,我在这里留下了一个提示。我把通往地牢的入口保存在一个可以公开访问的“秘密文件”中。
/secret
/secretfile
wget .secretfile.swp
感觉cat还是有点乱,我们尝试用strings读取其中的字符串信息
blehguessme090
这个像是一个关键信息,会不会是一个谁的凭据呢
/etc/passwd
ssh morris
ssh [email protected] -p7822
blehguessme090
linpeas.sh尝试提权
tar命令读取root.txt
说白了,就是tar
具有特殊高权限,我们使用tar
时哪怕没有拥有文件的访问权限也可以正常读取和搜索。 那我们直接用tar
把/root
目录打包,然后再解压就可以看到flag
即root.txt
:
tar -zcvf root.tar.gz /root
tar -zxvf root.tar.gz
CVE-2021-4034内核漏洞提权
这里我们选择[CVE-2021-4034] PwnKit
,这个漏洞在22年爆出来重大的内核漏洞,一般早期的机子都存在这个漏洞,刚好看linpeas,同样也给出了这个建议
由于靶机没有gcc
编译环境,但是存在python3
,我们得去找python
的版本
项目地址:https://github.com/joeammond/CVE-2021-4034
标签:dots,...,.-,..,-.,.......,---,Connect,17 From: https://www.cnblogs.com/carmi/p/18110293