渗透测试实战-Vulnhub-Matrix

Matrix - 幕布html

Matrix

前期准备
- 基本信息
  - get root and read flag
- 探测主机（netdiscover/arp-scan）
  - 发现目标IP为192.168.1.26
- 端口扫描(nmap)
  - HTTP服务 80端口，其余端口也能够尝试访问
- 访问服务及端口
  - HTTP
    - 如图的一个界面，页面显示follow the rabbit,在下方有一只很小的兔子图片，在源代码中能够找到相应的地址
  - 6464端口没有什么
  - 7331访问后是一个须要登陆的界面
- 对网站进行扫描（Nikto）
  - 没有看到特别有用的信息
- 对网站的目录进行爆破
  - 彷佛爆破出来的目录不是不少啊，可能存在没有检测到的，在assets目录下也没有什么，也没有robots.txt
进一步探索
- 以前看到的follow the rabbit,咱们查看其源代码
  - 访问后没有什么特别的
- 经过看别人的writeup知道，这个Matrix can show you the door是有含义的，就尝试访问Matrix目录
  - 确有此目录，接着就是一波探索
- 在 /Matrix/n/e/o/6/4/下找到了一个secret.gz 文件
  - 注意
    - Neo
  - 文件
  - 下载并解压查看，发现没法解压，发现是一个文本文件，里面是admin加密后的密码
  - 尝试后发现是经过MD5加密，解密获得
- 如今获得了一个密码，用户名应该就是admin,猜想能够用于登陆前面7331端口的那个界面
  - 对这个端口进行目录的爆破,爆破时须要给与用户名和密码做为参数，不然可能没有认证
  - 对这些目录进行探索
    - robots.txt
    - assets与以前看到的是同样的
    - data
      - 在kali上打不开，是一个windows下的文件
        
        下载时须要认证
        
        提示
    - 对data进行反汇编
      - 使用IDA进行反汇编
        
        选择相应的选项
        
        在Kali上显示80386，应该选择第一个Microsoft .Net assembly
        
        在反汇编结果中看到了了用户名和密码
        
        guest :7R1n17yN30
利用找到的用户名和密码登陆SSH 不太清楚为何6464能够是SSH的端口
- 登陆成功
  - 可是一些基本的命令使用不了
- 获取完整的shell,查到有两种方法
  - 一
    - 使用 -t “bash --noprofile” 来禁止相关的启动脚本，从而得到完整的 shell
    - 须要经过从新链接SSH 在最后加上以上的参数
  - 二
    - 先查看可执行命令的路径
    - 使用vi进入输入行的地方，输入！/bin/bash回车就能够执行命令
提权
- 思路
  - 查看当前用户能够执行root的命令
  - 先将guest原有的ssh密钥删除生成新的，复制到用户trinity
- 删除并生成新的密钥
  - 注意删除的命令：rm -rf .ssh 从新生成密钥：ssh-keygen
- 给新生成的文件已经.ssh赋予权限
  - chmod 777 .ssh
  - chmod 777 id_rsa.pub (可能须要进入到.ssh目录下)
- 将生成的id_rsa.pub复制给trinity
  - sudo -u trinity /bin/cp .ssh/id_rsa.pub /home/trinity/.ssh/authorized_keys
- 而后使用 ssh 携带 guest 的密钥在环回接口登陆trinity
- 查看用户trinity的权限
  - 能够执行oracle文件
  - 可是并无这个文件
- 能够将/usr/bin/bash 文件复制给oracle，而后直接运行提权
  - 发现并无用，发现是没有赋予执行可执行权限
  - chmod +x oracle
  - 再运行./oracle发现仍是不行
  - 缘由是没有sudo 继续sudo ./oracle ,获得root权限，查看flag

以上内容整理于幕布