Fork me on GitHub

THM-room-1

字数统计: 1.1k字   |   阅读时长≈ 4分
Try Hack Me(一)

[toc]

Basic Pentesting Room

部署靶机

首先openvpn在kali机子上部署,命令行为

1
sudo openvpn /path/xxx.opvn

image-20210119004603588

部署成功如上图。

隐藏页面扫描

部署成功后前两问显然攻破,接下来第三问询问该web的隐藏页面,老规矩先收集信息,nmap一波

1
2
nmap -sC -sV 10.10.44.68 > thmroom1.txt
//该命令将10.10.44.68页面端口部署机器版本号及相关信息扫描完成后存入thmroom1.txt文件中方便后续查看

扫描结果如下图:image-20210119005930815

接下来经典dirsearch目录扫描:

1
2
python3 dirsearch.py -u http://10.10.44.68/ -e*
//确保进入了dirsearch的文件夹中,用python3使用,且最后一个-e*命令表示扫描的页面为全部格式

image-20210119010210381

结果如上

强行查找用户密码

第四问很离谱,没太搞懂,在网页端突然就要找用户密码什么的?QWQ

反正先登录/develop目录康康,发现有两个.txt文件,保存了两个人的对话,复制下来放Deepl里翻译康康(原谅本人渣渣英语水平QAQ)得到一点信息应该是打入靶机后找/etc/shadow目录,里面有薄弱环节。

image-20210119011006814

此时回过头来查看刚才nmap扫描结果发现对方开启了22端口ssh登录,猜测可能是要我们暴力枚举,考虑了hydra,但在不知道user的情况下爆破极为困难。

参考了一款工具enum4linux

这里参考使用连接**我是连接**

kali上调出来enum4linux使用方法./enum4linux.pl [options] ip(但不知道到它绝对路径所以换了种输入)

集合成命令行:

1
enum4linux -a 10.10.44.68 | tee enum4linux.log//-a适合在什么都不知道的情况下使用

经过了漫长漫长的扫描等待环节,还有两次openvpn连接炸掉的事故后,终于扫出来了两人的名儿QAQ

妈妈我有钱了一定要换台牛逼的电脑玩渗透QAQ !——记开Chrome和VMware内存占用92%

image-20210119021723486

如图显然用户名为kay&jan

同时下题还有询问连接什么访问服务器,SSH哇!takedown :)

爆破服务器ssh

得到user后祭出hydra傻瓜神器爆破(我爆我自己?)

1
2
hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://10.10.89.207 
//因为是默认22端口所以无需修改ssh爆破端口,同时这里使用了kali自带字典rockyou.txt,也可自己去github上嫖些密码字典

kali自带字典:

image-20210119023439525

爆破开始,好家伙这所需时间把我吓哭了

image-20210119024020600

但是也就一小会儿,哇!(黑人欢呼.jpg)

image-20210119024349482

废话少说,ssh登录注入提权一条龙

打入服务器

连接上之后常规试探权限,注意到之前提到的/etc/shadow目录是个伏笔,测试了一圈全部permission denied。

显然接下来传提权马,github上嫖了一个linux的本地提权脚本,接下来传上去

image-20210119031632107

欧克马已上传

1
scp linpeas.sh jan@10.10.89.207:dev/shm

进入传输的文件夹后记得chmod增加权限

image-20210119031934030

我执行这个命令后报了错,,,不知道为什么,手动寻找使用ls -al命令查看所有文件夹的权限,发现了kay用户有一个ssh文件夹,可读,于是果断复制粘贴到kali上,接下来使用一款工具JohnTheRipper进行ssh破解。首先:

1
2
3
4
5
6
# locate ssh2john.py
/root/Ripper/JohnTheRipper/run/ssh2john.py
/usr/share/john/ssh2john.py
# python /root/Ripper/JohnTheRipper/run/ssh2john.py room1_id_rsa > answer.txt
//其中room1_id_rsa是我们复制下来的秘钥文件,接下来运行这个python工具将其转化为hash值
# john answer.txt --wordlist=/usr/share/wordlists/rockyou.txt

注意此时可能会报Crash recovery file is locked: /root/.john/john.rec这个错误,只需在root权限下删除该文件即可

1
2
sudo rm /root/.john/john.rec
john answer.txt --wordlist=/usr/share/wordlists/rockyou.txt

此hash crack结果如下图:

image-20210124145255737

登录kay用户

哈希碰撞出的密码接下来就用秘钥登录吧,千万要注意提前给秘钥文件提权限chmod 600 room1_id_rsa 

1
ssh -i room1_id_rsa kay@10.10.89.207

image-20210124150834954

ls -al查看pass.bak文件权限发现-rw,直接cat打开得到最终密码

image-20210124151238789

尾声

结束通关,整个过程很锻炼基础操作和知识,其中也碰到了一些问题,要自己分析解决,挺锻炼的。

哦哦哦还有一个小彩蛋哇!提权为root用户后直接cd可以发现一个flag.txt文件(CTF选手DNA动了QWQ)

image-20210124152324974

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

CTFer, Hacker, Developer of computer science