EMPIRE: LUPINONE

攻击机:192.168.223.128        

目标机:192.168.223.141

主机发现

nmap -sP 192.168.222.0/24

EMPIRE: LUPINONE_第1张图片

端口扫描

nmap -p- 192.168.223.141

EMPIRE: LUPINONE_第2张图片

开启了22和80端口。

看一下web界面

EMPIRE: LUPINONE_第3张图片

只有一张图片

看一下源码

EMPIRE: LUPINONE_第4张图片

没有什么有用信息

看一下robots.txt

EMPIRE: LUPINONE_第5张图片

去~myfiles看看

EMPIRE: LUPINONE_第6张图片

看一下源码

EMPIRE: LUPINONE_第7张图片

又让我别give up,keep trying

目录扫描一下看看

dirsearch -u 192.168.223.141

EMPIRE: LUPINONE_第8张图片

也没什么鸟东西,fuzz一下~后面的东西试试

ffuf -c -w /usr/share/wordlists/dirb/common.txt -u 'http://192.168.223.141/~FUZZ'


EMPIRE: LUPINONE_第9张图片

有个secret去看看

EMPIRE: LUPINONE_第10张图片

wtf,果然在这,意思让我们在这里找到ssh的私钥,有一个隐藏文件,还有fasttrack这个字典,以及icex64的用户名。

先找隐藏文件,继续爆破目录

ffuf -u "http://192.168.223.141/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200 

有个mysecret的目录很有说法

EMPIRE: LUPINONE_第11张图片

base家族的

EMPIRE: LUPINONE_第12张图片

是个base58加密

保存为ssh.key

用ssh2john将key转换成hash

用john破解,字典用fasttrack

EMPIRE: LUPINONE_第13张图片

密码是P@55w0rd!

ssh连接一下

ssh [email protected] -i ssh.key

EMPIRE: LUPINONE_第14张图片

权限太高了,降低一下权限
 

chmod 600 ssh.key

ssh [email protected] -i ssh.key

EMPIRE: LUPINONE_第15张图片

拿到shell

有个user.txt文件

EMPIRE: LUPINONE_第16张图片

没什么用,看看怎么提权

先看一下有没有特殊文件

有个不要密码的python文件,看一下

EMPIRE: LUPINONE_第17张图片

发现不可编辑

看看这个webbrowser模块可不可以修改

先找到这个模块

find / -type f -name webbrowser.py 2>/dev/null

vi修改一下加上这个语句

EMPIRE: LUPINONE_第18张图片

然后用arsene执行

sudo -u arsene python3.9 /home/arsene/heist.py

拿到了arsene的shell

看看有没有可利用的文件

pip指令免密root,可以用来提权

EMPIRE: LUPINONE_第19张图片

EMPIRE: LUPINONE_第20张图片

拿到root权限

总结:1.robots.txt2.目录fuzz3.ssh私钥爆破,先转john再john爆破4.py

模块修改获取shell5.pip提权

你可能感兴趣的:(vulnhub靶场,网络,渗透测试,靶场,安全,vulnhub,网络安全)