首先拿到 ip 10.10.182.162,並確認機器已上線
使用 nmap 工具,列舉開啟的服務
nmap -v 10.10.182.162
nmap -v -sV -p- -sC --min-rate 5000 10.10.182.162
可以看到,一共開了以下這三個服務,並可以注意到其中的 ftp 服務可以用 Anonymous 身分進行存取
21 ftp vsftpd 3.0.3 Anonymous allowed
22 ssh openssh 7.6
80 http apache 2.4.29
嘗試用 Anonymous 身分登入 ftp 後,發現有一個檔案 note_to_jake.txt,並嘗試下載下來看看
內容如下
From Amy,
Jake please change your password. It is too weak and holt will be mad if someone hacks into the nine nine
可以看到,Amy 寫給 Jake 說他的密碼是弱密碼,此外也另外提到了 holt 這個人的存在
雖然這邊可以嘗試用 ghidra 做爆破,但是這邊我先嘗試繼續看 web 的部分,看看會不會有什麼新發現
首先直接用瀏覽器打開看看,發現就是一個響應式圖片以及一段文字,沒了
而在好奇心之下看一下網頁原始碼,發現有提示說要做 stego
而這邊很明顯的是要對圖片做 stego,不過先等等,看一下有沒有隱藏的路徑
dirsearch --url http://10.10.182.162/
gobuster dir -u http://10.10.182.162/ -w /usr/share/seclists/Discovery/Web-Content/common.txt
看起來就只有預設的 index.html,沒有其他東西了,因此這邊我就先來做 stego
首先先下載圖片,發現是 jpg 後,使用 stegseek 工具自動爆破密碼
stegseek --wordlist ~/Desktop/temp/rockyou.txt brooklyn99.jpg
發現了一個 note.txt,內容如下
Holts Password:
fluffydog12@ninenine
Enjoy!!
看起來是直接得到 holt 的密碼了,不用嘗試爆破 Jake 的,省了一些時間
嘗試 ssh 登入
使用者: holt
密碼: fluffydog12@ninenine
成功登入
userflag 在家目錄的 user.txt 中
ee11cbb19052e40b07aac0ca060c23ee
首先嘗試看看該使用者有哪些可用的 sudo 權限,發現可以對 nano 進行 sudo
利用了 GTFObin 的資料,發現確實有辦法進行提權,照著做就行
首先先用 sudo 身分開啟 nano,並用 ctrl+R, ctrl+X 開啟指令輸入介面,這邊會是 non-interactive shell
輸入指令 reset;bash 1>&0 2>&0,啟動一個 bash shell 並將輸入及錯誤管道倒到輸出中
可以發現確實提權成功
rootflag 在 /root/root.txt 中
63a9f0ea7bb98050796b649e85481845
至此,已取得這台機器的完整權限