[VulnHub靶机渗透] MHZ_CXF: C1F

 博主介绍

‍ 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
✨主攻领域：【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
点赞➕评论➕收藏 == 养成习惯（一键三连）
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限，欢迎各位大佬指点，相互学习进步！

---

目录

前言

一、信息收集

1、主机探测

2、端口扫描

3、漏洞扫描

二、渗透测试

1、web渗透

2、ssh远程登录

3、内网信息收集

下载图片

查看下是否有隐写

查看是否有文件捆绑

查看隐藏文件的信息（不提取）：

提取隐藏的数据：

三、提权

---

前言

这是一块蛋糕机；

您将了解一些有关枚举/本地枚举、隐写术的知识。

难度不大，标准攻击链，适合验证标准攻击链的思路和思维框架是否扎实，都是标准操作，这要打不下来，只能证明基础能力和攻击思维能力还有待提高。

这种标准且不难的机器，适合初级红队练习综合操作能力。不会因为攻击过程难而无法继续。珍惜简单的靶机，日积月累，才能挑战更难。

一、信息收集

1、主机探测

发现靶机的IP地址是192.168.31.49

┌──(rootkali)-[~/routing]
└─# arp-scan -l

2、端口扫描

靶机开放了22、80端口

┌──(rootkali)-[~/routing]
└─# nmap -sS -A -p- 192.168.31.49

3、漏洞扫描

漏洞扫描没有发现什么有价值的信息

┌──(rootkali)-[~/桌面]
└─# nmap --script=vuln -p22,80 192.168.31.49

二、渗透测试

1、web渗透

先访问web的80端口，但就是一个 Apache2 Ubuntu Default Page 静态页面，没有发现什么有价值的信息

我们就只能从目录下手了，首先我们进行目录扫描

发现利用简单的dirb字典进行扫描，没有发现什么有价值的文件目录

dirb扫描器，加上大字典进行爆破目录

┌──(rootkali)-[~/routing]
└─# dirb http://192.168.31.49 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -X .php,.txt

Dirb将使用http://192.168.31.49作为目标URL，并使用/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt作为字典文件进行扫描。同时，Dirb会将.php和.txt作为文件扩展名进行匹配。

访问notes.txt目录

根据提示再访问remb.txt目录，发现一串账号密码

first_stage:flagitifyoucan1234

2、ssh远程登录

┌──(rootkali)-[~/routing]
└─# ssh [email protected]

## bash，该命令用于启动一个新的bash shell会话

查看SUID和sudo提权，尝试了但是并没有发现可以提权的

$ bash
first_stage@mhz_c1f:~$ sudo -l
[sudo] password for first_stage: 
Sorry, user first_stage may not run sudo on mhz_c1f.
first_stage@mhz_c1f:~$ find / -user root -perm -4000 -print 2>/dev/null
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/x86_64-linux-gnu/lxc/lxc-user-nic
/usr/lib/openssh/ssh-keysign
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/bin/gpasswd
/usr/bin/newuidmap
/usr/bin/newgidmap
/usr/bin/chfn
/usr/bin/sudo
/usr/bin/newgrp
/usr/bin/traceroute6.iputils
/usr/bin/pkexec
/usr/bin/chsh
/usr/bin/passwd
/bin/umount
/bin/fusermount
/bin/mount
/bin/ping
/bin/su
/snap/core/16202/bin/mount
/snap/core/16202/bin/ping
/snap/core/16202/bin/ping6
/snap/core/16202/bin/su
/snap/core/16202/bin/umount
/snap/core/16202/usr/bin/chfn
/snap/core/16202/usr/bin/chsh
/snap/core/16202/usr/bin/gpasswd
/snap/core/16202/usr/bin/newgrp
/snap/core/16202/usr/bin/passwd
/snap/core/16202/usr/bin/sudo
/snap/core/16202/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core/16202/usr/lib/openssh/ssh-keysign
/snap/core/16202/usr/lib/snapd/snap-confine
/snap/core/16202/usr/sbin/pppd

3、内网信息收集

先切换到/home目录下，然后进行信息收集

user.txt里面的意思大致就是说你做的很好，然后让我们提高权限

在mhz_c1f/目录下，有几张图片，可能存在隐藏的信息，我们可以把照片下载到本地

下载图片

┌──(rootkali)-[~/routing]
└─# scp -r [email protected]:/home/mhz_c1f/Paintings/ ./Painting/       

-r选项表示递归地复制整个文件夹内容。[email protected] 是远程服务器的用户名和IP地址。/home/mhz_c1f/Paintings/ 是远程服务器中要复制的文件夹路径。./Painting/ 是本地目标文件夹路径，表示将远程文件夹复制到当前目录下的 Painting 文件夹中。                                         

查看下是否有隐写

┌──(rootkali)-[~/routing/Painting]
└─# file *.jpeg 

查看是否有文件捆绑

┌──(rootkali)-[~/routing/Painting]
└─# binwalk *.jpeg

查看隐藏文件的信息（不提取）：

steghide info 图片

后来在spinning\ the\ wool.jpeg图片中找到了隐写的文件，remb2.txt

提取隐藏的数据：

┌──(rootkali)-[~/routing/Painting]
└─# sudo steghide extract -sf spinning\ the\ wool.jpeg                                                                         3 ⚙
Enter passphrase: 
the file "remb2.txt" does already exist. overwrite ? (y/n) y
wrote extracted data to "remb2.txt".
                                                                                                                                   
┌──(rootkali)-[~/routing/Painting]
└─# ls                                                                                                                         3 ⚙
'19th century American.jpeg'  'Frank McCarthy.jpeg'   remb2.txt  'Russian beauty.jpeg'  'spinning the wool.jpeg'

拿到一串账号密码

┌──(rootkali)-[~/routing/Painting]
└─# cat remb2.txt                                                                                                              3 ⚙
ooh , i know should delete this , but i cant' remember it 
screw me 

mhz_c1f:1@ec1f

三、提权

登录账号密码：

mhz_c1f:1@ec1f

恭喜：

我们已经成功拿到root权限的flag了

root@mhz_c1f:/root# cat .root.txt
OwO HACKER MAN :D

Well done sir , you have successfully got the root flag.
I hope you enjoyed in this mission.

#mhz_cyber