滲透測試實戰-Vulnhub-Matrix

Matrix - 幕布

Matrix

 

• 前期準備
  • 基本信息
    • get root and read flag
  • 探測主機（netdiscover/arp-scan）
    • 發現目標IP爲192.168.1.26
  • 端口掃描(nmap)
    • HTTP服務 80端口，其餘端口也能夠嘗試訪問
  • 訪問服務及端口
    • HTTP
      • 如圖的一個界面，頁面顯示follow the rabbit,在下方有一隻很小的兔子圖片，在源代碼中能夠找到相應的地址
    • 6464端口沒有什麼
    • 7331訪問後是一個須要登陸的界面
  • 對網站進行掃描（Nikto）
    • 沒有看到特別有用的信息
  • 對網站的目錄進行爆破
    • 彷佛爆破出來的目錄不是不少啊，可能存在沒有檢測到的，在assets目錄下也沒有什麼，也沒有robots.txt
• 進一步探索
  • 以前看到的follow the rabbit,咱們查看其源代碼
    • 訪問後沒有什麼特別的
  • 經過看別人的writeup知道，這個Matrix can show you the door是有含義的，就嘗試訪問Matrix目錄
    • 確有此目錄，接着就是一波探索
  • 在 /Matrix/n/e/o/6/4/下找到了一個secret.gz 文件
    • 注意
      • Neo
    • 文件
    • 下載並解壓查看，發現沒法解壓，發現是一個文本文件，裏面是admin加密後的密碼
    • 嘗試後發現是經過MD5加密，解密獲得
  • 如今獲得了一個密碼，用戶名應該就是admin,猜想能夠用於登陸前面7331端口的那個界面
    • 對這個端口進行目錄的爆破,爆破時須要給與用戶名和密碼做爲參數，不然可能沒有認證
    • 對這些目錄進行探索
      • robots.txt
      • assets與以前看到的是同樣的
      • data
        • 在kali上打不開，是一個windows下的文件
          • 下載時須要認證
          • 提示
      • 對data進行反彙編
        • 使用IDA進行反彙編
          • 選擇相應的選項
            • 在Kali上顯示80386，應該選擇第一個Microsoft .Net assembly
          • 在反彙編結果中看到了了用戶名和密碼
            • guest :7R1n17yN30
• 利用找到的用戶名和密碼登陸SSH 不太清楚爲何6464能夠是SSH的端口
  • 登陸成功
    • 可是一些基本的命令使用不了
  • 獲取完整的shell,查到有兩種方法
    • 一
      • 使用 -t 「bash --noprofile」 來禁止相關的啓動腳本，從而得到完整的 shell
      • 須要經過從新鏈接SSH 在最後加上以上的參數
    • 二
      • 先查看可執行命令的路徑
      • 使用vi進入輸入行的地方，輸入！/bin/bash回車就能夠執行命令
• 提權
  • 思路
    • 查看當前用戶能夠執行root的命令
    • 先將guest原有的ssh密鑰刪除生成新的，複製到用戶trinity
  • 刪除並生成新的密鑰
    • 注意刪除的命令：rm -rf .ssh 從新生成密鑰：ssh-keygen
  • 給新生成的文件已經.ssh賦予權限
    • chmod 777 .ssh
    • chmod 777 id_rsa.pub (可能須要進入到.ssh目錄下)
  • 將生成的id_rsa.pub複製給trinity
    • sudo -u trinity /bin/cp .ssh/id_rsa.pub /home/trinity/.ssh/authorized_keys
  • 而後使用 ssh 攜帶 guest 的密鑰在環回接口登陸trinity
  • 查看用戶trinity的權限
    • 能夠執行oracle文件
    • 可是並無這個文件
  • 能夠將/usr/bin/bash 文件複製給oracle，而後直接運行提權
    • 發現並無用，發現是沒有賦予執行可執行權限
    • chmod +x oracle
    • 再運行./oracle發現仍是不行
    • 緣由是沒有sudo 繼續sudo ./oracle ,獲得root權限，查看flag

以上內容整理於 幕布