打靶记录30——Vegeta

真言：

实操才是渗透测试最核心的能力

当你不在每天起早贪黑的去磨练你的渗透测试能力，磨练你的技艺的时候，你就会变得生疏，变得荒废，某些能力就会慢慢的离开你的身体，当然你的见识、经验、知识面还在，但是会有一些东西慢慢离开你的身体

渗透是一项实战的技能，它和你学过多少技术，你从业多少年，你有多少积累，你做过多少大的项目，都没有太大的关系，它就是看你面对眼前的这个目标，你能不能快速的把它拿下

靶机：

https://www.vulnhub.com/entry/vegeta-1,501/

下载（镜像）：https://download.vulnhub.com/vegeta/Vegeta.ova

难度：

• 低

目标：

• 获得 Root 权限

攻击方法：

• 主机发现
• 端口扫描
• 信息收集
• 路径枚举
• 摩尔斯码
• 数据编码还原
• 二维码解码
• 本地提权

主机发现

目标机和攻击机均为桥接模式

sudo netdiscover -r 192.168.31.1/24

端口扫描和服务发现

sudo nmap -p- 192.168.31.129 发现打开了 22 端口和 80 端口

sudo nmap -p22,80 -sV -A 192.168.31.129 发现目标应该是 Debian 系统

访问 80 端口发现只有一张七龙珠的贝吉塔的图片

目录爬取

sudo dirsearch -u http://192.168.31.129/

去到 admin 路径下查看，发现 <?php ?> 显示出来，说明目标上可能没有 php 环境

robots.txt 里面有一个隐藏路径 /find_me

Ctrl + U 查看源码，在最下面发现了 Base64 编码

二维码解码

打开 cyberchef

from base64 ——> from base64 ——> Image Filter ——> Parse QR Code，最终获得密码 Password : topshellv

或者这样也可以 zbarimg -q a.png

sudo apt search zbar

sudo apt install zbar-tools

获得 QR-Code:Password : topshellv

记得前面端口扫描的时候发现开启了 22 端口

ssh root@192.168.31.129 用topshellv这个密码登录 root 账号失败，用 vegeta 贝吉塔账号也登录失败

dirsearch  -u http://192.168.31.129/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt

用大字典来跑，然后发现了 /bulma 路径，发现里面有个音频文件

sudo apt search audacity 下载一个音频软件

sudo apt install audacity

audacity hahahaha.wav 打开软件

摩尔斯码

可以通过查表来根据音频还原

也可以在网站上，自动破解摩斯电码

https://morsecode.world/international/decoder/audio-decoder-expert.html

USER : TRUNKS PASSWORD : US3R(S IN DOLLARS SYMBOL)

用户名：trunks

密码：u$3r

成功突破边界

本地提权

发现 /etc/passwd 文件的所有这就是当前账户

openssl passwd -1 123 生成一段密码的密文 $1$Z2yt8KuG$39Z2Ki5NRHgLxesflIdEo1

echo "admin:$1$Z2yt8KuG$39Z2Ki5NRHgLxesflIdEo1:0:0::/root:/bin/bash" >> /etc/passwd

追加一行管理员账号到 /etc/passwd 文件上

发现密码前面的 $1$Z2yt8KuG$3 没写进去，难道是转义问题？

直接用 vi 来编辑 /etc/passwd 文件吧，然后直接 su 成 admin，输入密码 123 即可