vulnhub-Machine_Matrix靶机的测试报告

标签：202.163 http 测试报告 端口 192.168 Machine 密码 vulnhub 靶机

目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、信息搜集

2、Getshell

3、提权

四、结论

---

一、测试环境

1、系统环境

渗透机：kali2021.1(192.168.202.134)

靶  机：Linux porteus 4.16.3-porteus

2、使用工具/软件

Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、gobuster(目录遍历)、ssh(远程登录)、wget(下载靶机文件)、crunch(生成密码字典)

测试网址：http://192.168.202.163

二、测试目的

渗透靶机获取信息，得到游客密码的信息，爆破出guest游客用户，完成rbash逃逸，有完整权限，给root改个密码即可提权。

三、操作过程

1、信息搜集

进行主机探测

arp-scan -l

获取到靶机IP为：192.168.202.163

端口和服务探测

nmap -sS -A -T4 -p- 192.168.202.163

开启了ssh服务(22端口)和web服务(80端口和31337端口)

值得一提的是web服务是用python搭起来的简单http服务，第一想法是可以从靶机下载文件

进行目录扫描

gobuster dir -u http://192.168.202.163 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

只扫到assets目录

扫31337端口的目录结果也是一样的

gobuster dir -u http://192.168.202.163:31337 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

2、Getshell

访问web网页，只有默认主页和assets目录

主页没什么信息

查看网页源码，有很多注释，但没什么有用的信息

Assets目录，也没什么有用信息，都是些网页资源，css、js、img等文件

31337端口的web页面主页也没什么信息，一句无关紧要的话

查看网页源码发现了信息

ZWNobyAiVGhlbiB5b3UnbGwgc2VlLCB0aGF0IGl0IGlzIG5vdCB0aGUgc3Bvb24gdGhhdCBiZW5kcywgaXQgaXMgb25seSB5b3Vyc2VsZi4gIiA+IEN5cGhlci5tYXRyaXg=

base64解码得到：

echo "Then you'll see, that it is not the spoon that bends, it is only yourself. " > Cypher.matrix

众所周知，这个命令是向Cypher.matrix文件中写入一句话，那么，获取一下这个文件看看

靶机开启了python的http服务

直接下载试试，80端口和31337端口都试试

wget http://192.168.202.163/Cypher.matrix
​​wget http://192.168.202.163:31337/Cypher.matrix

下载成功了，文件在31337端口目录下

查看一下文件，这种加密是brainfuck加密

解码网站：http://esoteric.sange.fi/brainfuck/impl/interp/i.html

解码得到部分密码，他将后两个字符用XX代替了，让自己找。

明文：

You can enter into matrix as guest, with password k1ll0rXX

Note: Actually, I forget last two characters so I have replaced with XX try your luck and find correct string of password.

使用crunch工具生成密码字典

crunch 8 8 -f /usr/share/crunch/charset.lst lalpha-numeric -t k1ll0r@@ > pass.txt

参数解释：

8 8：分别是最小和最大密码长度，都为8，生成长度为8的密码

-f /usr/share/crunch/charset.lst lalpha-numeric：调用库文件指定字符集生成范围，字符集规则在charset.lst文件中存着，lalpha-numeric是所有小写字母和数字的集合

-t 指定密码格式

@ 表示该位置插入小写字母

使用生成的密码字典遍历guest用户ssh密码

hydra -l guest -P pass.txt 192.168.202.163 ssh

爆破成功，得到guest用户密码k1ll0r7n

guest/k1ll0r7n

ssh登录guest用户，成功登录

3、提权

发现是rbash权限，很多命令都用不了

首先需要rbash逃逸

发现vi命令是可以使用的，使用vi命令逃逸

打出冒号进入命令模式，强制执行一个shell

!/bin/bash

逃逸成功。

现在可以使用命令了，但是shell还不全面，有些命令用不了

将bash加到环境变量中，扩大可用的命令

export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/

查找用户权限如上图，可以sudo执行所有权限，相当于root了

sudo -l

既然要提权，那就给root用户改个密码登录就行

成功修改root用户密码并提权

sudo passwd root

完成靶机

四、结论

是个ctf类型的靶机，获取信息，猜测并进行渗透，得到密码。

rbash权限会现在执行命令，可以进行逃逸，成功后就完成了。

根据提示生成模糊字典可以用crunch工具。

标签：202.163,http,测试报告,端口,192.168,Machine,密码,vulnhub,靶机
From： https://blog.csdn.net/2301_79698171/article/details/142765305