聯想新一代 YOGA 筆記本新配色亮相:亮面銀色邊緣,側邊揚聲器開孔
阿新 • • 發佈:2022-03-24
Vulnhub 靶場 EMPIRE: LUPINONE
前期準備
靶機地址:192.168.147.197
攻擊機地址:192.168.147.190
一、資訊收集
1、掃描伺服器埠。
發現有22埠和80埠且80埠有robots.txt。
2、訪問80埠。
發現是張圖片,無價值。
在訪問robots.txt。
讓我們訪問/~myfiles
提示你可以做到,保持嘗試。
猜測可能有類似目錄。用 wfuzz 掃一下
wfuzz -c -u '192.168.147.197/~FUZZ/' -w /usr/share/SecLists-master/Discovery/Web-Content/burp-parameter-names.txt --hc 404
訪問~secret
提示我們有ssh私鑰,繼續尋找。找一下該目錄下隱藏檔案
wfuzz -c -u '192.168.147.197/~secret/.FUZZ/' -w /usr/share/SecLists-master/Discovery/Web-Content/burp-parameter-names.txt --hc 404
(注:此處圖片命令錯誤)
沒掃出來,那大概就是帶有後綴的檔案,換成 ffuf 掃,這個工具可以選擇檔案字尾。
ffuf -u "http://192.168.147.197/~secret/.FUZZ" -w /usr/share/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt -e .pub,.txt,.html -mc 200
訪問mysecret.txt,發現一堆加密後的字元,解碼發現是base58加密。
將其儲存到本地命名私鑰名字為id_rsa。在用john生成密碼字典在進行破解,得到密碼。
得到密碼為P@55w0rd!
三、提權
首先ssh登陸,需要 -i + 私鑰
檢視許可權,sudo -l
發現可以使用arsene不需要密碼 來執行 heist.py。檢視heist.py發現利用webbrowser庫,我們嘗試看看這個庫能不能寫入,能的話就寫如個shell,從而獲得 aresene 使用者。圖中可以看出可以寫入。
寫入後執行heist.py獲得arsene許可權。
sudo -l
發現可以進行pip提權。
成功拿到root許可權。