Year of the Rabbit – TryHackMe

Year of the Rabbit – TryHackMe

一、信息收集

• 使用nmap对ip端口进行一个扫描看看开放了哪些服务，这个靶场开起来了ftp ssh和http

• 再使用dirsearch对靶场进行扫描一下，有个assets目录

二、渗透利用

• 访问一下这个网站

• 访问一下目录，有个目录遍历看一下这个mp4是什么

• WC给诈骗了😅

• 看看另外一个css文件里面，泄露了一个路径访问看看

• 给了我们一个提示，叫我们关闭js，

• 然后点击确定之后给了我们一个视频，然后，然后就又给咋骗了

• 我们关闭这个js再访问一下，我这里使用firefox浏览器，在搜索框里面输入about:config就能修改，将true改为false就行了，后面记得改回来

• 再回去访问一下那个路径，给了我们一段提示.....叫我们音量提高，意思是还得看这个视频呗

• 在音频的第56秒有一个提示，这里提到了burp，看来要抓包了

“I’ll put you out of your misery burp you’re looking in the wrong place”

• 打开bup访问/sup3r_s3cr3t_fl4g.php，可以到我在放行的过程中给了重定向停在了名为 /intermediary.php 的页面上，并带有 hidden_directory 参数，我们现在访问一下这个/WExYY2Cv-qU 页面看看

• 在这个隐藏的文件下面有一个图片

• 点进去看一下这是经常被用作处理技术测试图像的经典 Lena 图片

• 看了一下攻略，这里先把文件下载下来，然后使用

三、内网渗透

• 使用命令,看到

sed -n '1790,1791p' Hot_Babe.png

• 使用翻译软件看了一下得到了一个用户名ftpuser

• 使用cat命令查看这个图片，在这个图片的末尾阶段给了我们一串密码

• 我们将这个词表保存到一个新文件中，然后我们可以将 Hydra 设置在 FTP 服务器

sed -n '1792,$p' Hot_Babe.png > wordlist.txt

• 使用 Hydra对我们得到的用户的密码进行爆破，成功拿到了密码5iez1wGXKfPKQ，现在进行登录

hydra -l ftpuser -P <path-to-copied-wordlist> <remote-ip> ftp

• 在ftp下面只有一个文件，我们下载看看里面有什么

• 看了一下文件，感觉有点像fuckjs拿去解密一下，发现解密不出来，搜了一下发现这个brainfuck，

• 继续解密吧，丢网站上解密了一下拿到了一个用户和密码,应该是ssh的登录看看

User: eli
Password: DSpDiM1wAEwid

• 也是成功的登录上去了这里又给了我们一段提示

• 隔这偷情呢

• 我们直接搜索user.txt 发现他在gwendoline下面杀过去

• 然后直接就把我关在门外了，显示我没有权限进去

‘’

• 我们再根据那个暗语搜索一下s3cr3t,果真找到了

• 看看这个目录下面有什么

• 这个下面有个隐藏文件看看里面是什么，里面有Gwendoline的密码MniVCQVhQHUNI 我们切换用户登录去拿user.txt

四、提权

• 也是成功拿到了uiser.txt了，接下来就要去拿根目录的flag了，这里先sudo -l看一下当前用户有没有以root权限运行的命，

• 可以看到这里vi是以root权限运行的

• 我们先使用sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt通过 vi 打开 /home/gwendoline/user.txt 的上下文,然后在vi中使用命令 !bash

后返回终端就能是root用户了

• 现在我们只需要获取 /root/root.txt