Vulnhub之Empire: LupinOne

前期准备:

靶机地址:

https://www.vulnhub.com/entry/empire-lupinone,750/

kali机IP:192.168.132.129

靶机IP:192.168.132.128

运行环境:VMware

一、信息收集:
使用nmap进行对靶机进行扫描

nmap -sC -sV 192.168.132.128 -p- -n -vv -min-rate=2000

发现了22与80端口,在80端口下发现robots.txt和~myfiles

Vulnhub之Empire: LupinOne_第1张图片 

利用80端口寻找有用信息

Vulnhub之Empire: LupinOne_第2张图片

Vulnhub之Empire: LupinOne_第3张图片 

Vulnhub之Empire: LupinOne_第4张图片 

发现/~myfiles目录,打开显示404

Vulnhub之Empire: LupinOne_第5张图片

 

二、开始渗透
由于不能访问~myfiles于是使用ffuf工具进行模糊测试,fuzz类似文件名,发现了~secret文件夹

ffuf -c -r -u 'http://192.168.132.128/~FUZZ' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -fs 0 -o 1.html -of html

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkDliqDkuIBf,size_20,color_FFFFFF,t_70,g_se,x_16

访问文件夹,发现一段文字,翻译过来获取有效信息为在该目录下有一个ssh私钥文件,并且知道一个用户名为icex64

Vulnhub之Empire: LupinOne_第6张图片 

由于私钥文件一般放在.ssh文件夹下,所以按照“.FUZZ”的思路枚举,又因为是文件,故添加后缀

  •  
 
ffuf -c -r -u 'http://192.168.132.128/~secret/.FUZZ' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -e .php,.txt,.html -fs 0

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkDliqDkuIBf,size_20,color_FFFFFF,t_70,g_se,x_16

Vulnhub之Empire: LupinOne_第7张图片  

通过测试,发现是base58编码,于是进行解码

Vulnhub之Empire: LupinOne_第8张图片

 将解码后的文件复制,并命名为id_rsa,使用ssh2john生成一下密码本,再使用john爆破一下,得到密码:P@55w0rd!

(这里需要注意的是在之前的~secret文件中,需要使用fasttrack字典去爆破) Vulnhub之Empire: LupinOne_第9张图片 在登陆前需要给文件修改权限为600,否则权限太大导致登陆失败 Vulnhub之Empire: LupinOne_第10张图片 在当前目录下查看发现user.txt,拿到第一个flag Vulnhub之Empire: LupinOne_第11张图片  

三、提权
sudo -l发现一个arsene用户并且可以免密执行heist.py,查看文件使用了webbrowser库

Vulnhub之Empire: LupinOne_第12张图片 

使用find指令查找此库,查看库的权限是否是可读可写,发现权限是满的

Vulnhub之Empire: LupinOne_第13张图片 

我们直接编辑此文件,写入调用shell脚本(由于我这里之前报了一个bash错误,故添加\,转义括号和引号为可读),使用arsene调用/home/arsene/heist.py watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkDliqDkuIBf,size_20,color_FFFFFF,t_70,g_se,x_16   sudo -l发现可以免密执行pip命令 watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkDliqDkuIBf,size_20,color_FFFFFF,t_70,g_se,x_16   新建一个目录创建setup.py文件,写入反弹shell,利用pip install以root权限执行 watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkDliqDkuIBf,size_20,color_FFFFFF,t_70,g_se,x_16   使用以下命令将shell转变为交互式shell看起来舒服一些
  •  
 
SHELL=/bin/bash script -q /dev/null 来到root目录下,打开root.txt成功拿到flag Vulnhub之Empire: LupinOne_第14张图片 至此,实验结束

 

 

你可能感兴趣的:(测试工具,ssh)