前期准備:
靶機地址:https://www.vulnhub.com/entry/empire-lupinone,750/
kali攻擊機ip:192.168.11.129
靶機ip:192.168.11.190
一、信息收集
1.使用nmap對目標靶機進行掃描
發現開了22和80端口,80端口還掃出了 robots.txt 文件。
2. 80端口
看一下 robots.txt 文件有個 /~myfiles 路徑:
與 /~myfiles ,類似的目錄應該還有,用 wfuzz 掃一下:
發現了 /~secret 路徑:
提到了有個隱藏文件 SSh 私鑰,密碼破解和一個用戶名 icex64,找一下隱藏文件,應該是 “ .**** ” 文件:
沒掃出來,那大概就是帶有后綴的文件,換成 ffuf 掃,這個工具可以選擇文件后綴:
ffuf -u "http://192.168.11.190/~secret/.FUZZ" -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -e .pub,.txt,.html -mc 200
發現了 .mysecret.txt 文件,查看一下:
一串字符,看着像 base 系列的,挨個試一下;
最后 base58 解出來了,有了私鑰,使用 ssh2john.py 生成密碼本就可以爆破了。
二、ssh私鑰爆破
注:
賦權 600 就可以,權限太大的話會 ssh 也登錄不了。
解得密碼: P@55w0rd!,用之前發現的用戶名 icex64 ssh 登錄。
三、提權
查看權限:
發現可以作為用戶 arsene 執行/home/aresene 下的文件,看一下這個 heist.py 文件:
用的 webbrowser 庫,看看這個庫能不能寫入,能的話就寫如個shell,從而獲得 aresene 用戶:
這個目錄是python的默認目錄,不記得的話就 find 找一下,發現權限是滿的,那就可以再其中寫入shell:
然后再用 arsene 調用 /home/arsene/heist.py:
sudo -u arsene python3.9 /home/arsene/heist.py
成功獲取了 arsene 用戶,查看一下權限:
發現以 root 身份執行 pip,那就可以以 pip 進行提權 :
成功獲取到 root 權限,查看 flag:
