hackmyvm-alzheimer
λ zscan -t 192.168.69.20 -p 1-65535
[ ]2025/03/29 14:34:50 本次扫描用户屏蔽的端口:[25 110 9100 9101 9102 9103][+]2025/03/29 14:34:50 hydra模块已开启,开始监听暴力破解任务[ ]2025/03/29 14:34:50 当前已开启的hydra模块为:[ssh rdp ftp smb telnet mysql mssql oracle postgresql mongodb redis]
[+]2025/03/29 14:34:51 Domain、IP、Port、URL、Hydra引擎已准备就绪
[+]2025/03/29 14:34:51 所有扫描任务已下发完毕
ftp://192.168.69.20 ftp Length:20,Version:3.0.3,Digest:"220(vsFTPd3.0.3)rn",DeviceType:v,Port:21,ProductName:vsftpd,OperatingSystem:Unix
ssh://192.168.69.20 ssh Version:7.9p1Debian10+deb10u2,OperatingSystem:Linux,Port:22,ProductName:OpenSSH,Digest:"SSH-2.0-OpenSSH_7.9p1D,Length:41,Info:protocol2.0
[+] ftp 192.168.69.20:21:anonymous anonymous
[->].
[->]..
[->].secretnote.txt
[+] ftp 192.168.69.20:21:ftp ftp
[->].
[->]..
[->].secretnote.txt
ftp://192.168.69.20 CrackSuccess Username:ftp,Password:ftp,Length:0
http://192.168.69.20 Digest:"Ionlyrememberthatwa,Length:304,Port:80
扫描开放了21 22 80
先看看txt内容
I need to knock this ports and
one door will be open!
1000
2000
3000
Ihavebeenalwayshere!!!
Ihavebeenalwayshere!!!
提示是需要knock
knockd 开启防火墙
通过查阅相关资料
使用 knock 管理防火牆相關行為 - https://linux.vbird.org/linux_server/others/knockd.php
knockd 主要的目的是希望可以動態的修改防火牆規則,他的運作流程是這樣的: 伺服器端的防火牆規則中先開放三個左右的埠口,這些埠口沒有被其他程式啟用,且可由 knockd 所偵測; 用戶端若依照設定的順序依序的連線到這三個埠口時, knockd 將進行動態防火牆規則的設定 防火牆規則被修改,且 knockd 持續進行偵測; 當用戶端讓 knockd 等候逾時,或者是用戶端離線後,剛剛步驟三的防火牆規則將會被移除。 如此一來,當我在非固定 IP 的網段想要連線到伺服器時,就可以透過這個機制來處理啦!
/usr/bin/knock 192.168.69.20 1000 2000 3000 -v -d 1000
敲了门似乎没什么区别
先看看80端口
f12源代码里还有一个morse编码 解码后是OTHING
按提示先扫一下,后缀一定是txt
扫了什么也没有,使用下这个密码登ssh,不对,使用前面的txt试试看
Ihavebeenalwayshere!!!
发现是密码,拿下flag HMVrespectmemories
看下提权
id似乎没有提权能力
suid看到有一个/usr/sbin/capsh
提权方法是/usr/sbin/capsh --gid=0 --uid=0 --
拿下flag -HMVlovememories
摘要总结:
-
扫描结果
- 目标IP:192.168.69.20
- 开放端口:21(FTP)、22(SSH)、80(HTTP)
- FTP服务:vsFTPd 3.0.3(允许匿名登录和用户
ftp/ftp
),发现文件.secretnote.txt
。 - SSH服务:OpenSSH 7.9p1(运行于Linux系统)。
- HTTP服务:返回部分提示信息“Ionlyrememberthatwa...”。
-
FTP文件内容
-
.secretnote.txt
提示需通过端口敲门(knock)激活隐藏服务:I need to knock this ports and one door will be open! 1000 2000 3000 Ihavebeenalwayshere!!!
-
-
端口敲门
- 使用命令
knock 192.168.69.20 1000 2000 3000 -v -d 1000
,但未观察到明显变化。
- 使用命令
-
HTTP线索
- 网页源代码包含Morse编码“OTHING”,结合FTP文件内容推测密码为
Ihavebeenalwayshere!!!
。
- 网页源代码包含Morse编码“OTHING”,结合FTP文件内容推测密码为
-
SSH登录
- 使用用户名
ftp
和密码Ihavebeenalwayshere!!!
成功登录,获取第一个Flag:
HMVrespectmemories
- 使用用户名
-
提权操作
-
发现SUID权限的
/usr/sbin/capsh
,通过命令提权:/usr/sbin/capsh --gid=0 --uid=0 --
-
获取root权限,最终Flag:
HMVlovememories
-
关键步骤:
- 利用FTP匿名登录获取敲门端口顺序和SSH密码。
- 通过端口敲门尝试激活潜在服务(实际可能无需此步骤)。
- 直接使用FTP文件中密码登录SSH,并利用SUID程序提权。
结论:
成功通过FTP信息泄露获取SSH凭据,并利用配置漏洞提权至root。
原文始发于微信公众号(BlueIris):hackmyvm-alzheimer
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论