# 前言
前两天坐牢被折磨的有点惨,找一台简单一点的靶机来霍霍一下乐呵乐呵,但是不幸的是找到了一台让我有些痛苦的靶机,做完后我感觉这可能是一个 misc 题
# 靶机描述
靶机难度:低级
目标:root 权限的 shell
涉及的攻击方法:
- 主机发现
- 端口扫描
- 信息收集
- 路径枚举
- 摩尔斯码
- 数据编码还原
- 二维码解码
- 本地提权
虚拟机:
- 格式: 虚拟机 (Virtualbox OVA)
- 操作系统: Linux.
联网:
- DHCP 服务:已启用
- IP 地址自动分配
这在 VirtualBox 而不是 VMware 上效果更好。
# 攻击流程
# 信息收集
PS:靶机和我的 kali 都是桥接模式,处于同一个网段
然后协议发现
OpenSSH7.9 的 ssh 服务,目标服务器是 debian 系统,80 端口是一个 apache2.4.38 版本的 http 服务,接下来还是去查看 80 端口上面的服务
页面简单的查看了一下没有发现什么有用的东西,扫描目录看一眼
这里有一个 admin 目录,直接去访问
这里就只有一个 admin.php 文件
空白的页面,查看页面源码
发现有一个上图这样的东西,可能是因为没有 php 解析环境?或者是将这个字符串输出出来了?,暂时有一个这样的疑问接着看别的目录
img 下面有一个图片
还是没有看到很能有帮助的信息,接着查看别的目录
这就是 apache 的默认页面,还是没有有价值的信息
这里当访问到 login.php 的时候会将文件直接下载下来,很显然靶机是没有 php 环境的,这里的 login.php 也是一个空文件
看到 robots.txt 文件,这里有一个 find_me,尝试去访问
这还是一个目录,点进去看这个文件
还是没有太有价值的东西,但是在源码中我找到了这样一段
将这一串 base64 解码两次,发现是一个图片
文件头是 png,于是找了一个在线的 base 转图片来转化一下
拿到了一个二维码文件,使用 QR Research 来解析
是隐藏了一个密码在里面的 Password : topshellv,这里想过是 ssh 的密码,但是尝试登录没有成功
这里我尝试了很久,但是一直没有找到有用的信息,知道后来看了网上别的师傅的,知道还有一个 bulma 这样一个目录,我的评价是意料之外,情理之中
看到出现新的文件,我只能说这要是没脑洞到,谁能想到这个,下载这个文件后庭了一下发现这是一段莫斯,使用 au 将其打开
手动转化也行,但是我比较懒 Morse Code Audio Decoder | Morse Code World 我用这个工具转化
就拿到了这样一段信息,最后括号中是信息是 s 替换为 $,那就拿到了一组用户名密码
trunks
u$3r
怎么看都像是 misc(难绷)
# 提权
开始我还在直接利用 sudo 来尝试,毕竟开始也是拿到了一个秘密,但是这里没有 sudo 命令
翻了翻其中的文件
发现这样一个重要的文件的所有者是当前用户,这里直接改这个文件即可,生成一个密码
更改 root 用户的密码为 123456
su
总的来说,那个神奇的目录还是让我很抓狂的