PumpkinRaising靶机渗透

• 0x00    前言

这个靶机是vulnhub上比较新的靶机了，这里给出下载链接：PumpkinRaising，整体做下来感觉非常坑，不适合新手把玩，过程中参考了Vulnerable Machine Solution的视频，这里给出链接：https://www.youtube.com/watch?v=6dVKKkf9d14，文章末尾会给出所用工具的下载链接。

• 0x01    主机发现

直接用namp扫网段，nmap -sS 192.168.158.1/24，发现目标ip192.168.158.140

• 0x02    信息搜集

由于-sS只进行常规的端口扫描，使用nmap对目标主机的全部端口进行详细扫描，nmap -sS -A -p- 192.168.158.140

用dirbuster扫描目录，信息比较有限

• 0x04    渗透阶段

首先访问下80端口的主页，是一个静态页面，没有什么信息

查看网页源代码时发现一串base64加密的字符串，解密后也没有有用信息

在源代码中发现了另一个页面url

访问后也是一个静态页面，审查元素后发现信息

第一个是base32加密的，解密后得到一个流量包的地址

下载下来放到wireshark中，追踪TCP流发现第一个seed_id：50609

接下来是下面的16进制字符串，转换后得到第二个seed_id：96454

访问一下dirbuster扫出来的robots.txt，发现一个gpg文件可以下载，gpg文件是一个加密文件

接下来就是解密了，解密过程着实坑了我不少时间，首先是软件的各种报错，其次是解密密钥没有，最后借助了github上的工具，从首页猜测出密码SEEDWATERSUNLIGHT才把文件解密

这个文档其实还是加密文件，又是点又是横的，一下子就想到了摩斯密码，解密出来得到第三个seed_id：69507

在pumpkin.html下发现另一个页面url，访问

查看网页源码后提示有一张南瓜灯的图片在images里面

把图片下载下来，url是http://192.168.158.140/images/jackolantern.gif

最后一个seed肯定是加密在图片中了，使用stegosuite解密，得到第四个seed_id：86568

忘记说解密时候的密码怎么得到的了，之前的robotx.txt中有一个/hidden/note.txt的文件，打开后是几个用户名和密码，本来以为是ssh连接时候使用的，没想到在这里用上了（并不能连接ssh）

• 0x05    提升权限

根据首页上的信息，猜测ssh连接的用户名是jack，密码是我们找到的四个种子，但是位置排列是个问题，写个脚本跑一下，跑出来用户名:jack，密码69507506099645486568，登陆成功

直接sudo -l查看jack可以执行的root权限，可以执行/usr/bin/strace命令，这是一个很强大的命令，可以一步到位拿到root权限，具体原理就是strace以root权限运行跟踪调试/bin/bash, 从而获取root权限的shell，命令为sudo strace -o /dev/null /bin/bash，文章参考：运维安全之如何防范利用sudo进行提权获取完整root shell

执行命令，提权成功

查看flag.txt

• 0x06    总结

整个靶机做下来，感觉坑非常多，信息藏得比较隐蔽，没有什么数据交互，很容易失去头绪，而且设计很多加密解密，国内的加解密网站有点力不从心，在使用工具的时候也遇到很多麻烦，虽然最后都解决了，但是真的是比较恶心人，最后的最后给出本文所使用的一些工具的下载url：

1. 各种加解密工具集，我用的是国外一个开源的工具，把整个加解密应用放到了web应用上，非常的方便：CyberChef
2. gpg解密工具，使用的是github上的一个开源脚本：CrackGPG
3. 图片隐写加解密工具，使用的也是开源工具，这里给出官网：stegosuite
4. 其他诸如nmap，dirbuster，御剑我就不单独放了，放一个工具包合集，提取码：x0pu