1. 首頁 > 生活百科 > >

vlunhub靶場之EMPIRE: LUPINONE

生活百科

準備:
攻擊機:虛擬機kali、本機win10 。
靶機:EMPIRE: LUPINONE,網段地址我這里設置的橋接,所以與本機電腦在同一網段,下載地址:https://download.vulnhub.com/empire/01-Empire-Lupin-One.zip , 下載后直接Vbiox打開即可 。
知識點:pip提權、fuzz爆破、base58解密、水平越權、john 工具的使用 。

vlunhub靶場之EMPIRE: LUPINONE

文章插圖
信息收集:
掃描下端口對應的服務:nmap -T4 -sV -p- -A 192.168.0.11,顯示開放了22、80端口,發現了robots.txt、/~myfile 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
訪問下80端口、robots.txt、/~myfile并查看源代碼信息,但是均未發現有效的信息 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
目錄掃描:
使用dirmap進行目錄掃描,常規的掃描未掃描出來啥信息,然后開啟了fuzz掃描(需要在配置文件中開啟fuzz模式,修改dirmap.config文件中的conf.fuzz_mode = 1),發現了~secret目錄并進行訪問找到了提示信息 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖

vlunhub靶場之EMPIRE: LUPINONE

文章插圖
根據提示信息猜測賬戶名是icex64,并且告訴我們需要使用fasttrack破解他的密匙,猜測這里存在文件存放了密匙 , 這里采用ffuf進行掃描 , 命令:ffuf -u "http://192.168.1.4/~secret/FUZZ" -w /home/kali/Desktop/dict_mode_dict.txt -e .txt,.php,bak,html -mc 200,獲取到.mysecret.txt文件 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
信息解密和爆破:
訪問.mysecret.txt文件并對數據進行解密,直接在https://ntool.chinaz.com/tools/baseAll網站解密成功,獲得密匙 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
將得到的密匙存放到upfine文件中,使用john生成密碼本,命令:python2 /usr/share/john/ssh2john.py /home/kali/Desktop/upfine > passwd 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
然后在使用fasttrack進行密碼的爆破 , 命令:john --wordlist=/usr/share/wordlists/fasttrack.txt passwd , 獲得密碼:P@55w0rd!
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
SSH登錄:
需要賦予upfine文件600權限 , 否則會登陸失敗,登錄命令:ssh icex64@192.168.1.4 -i upfine , 這里注意下盡量在kali上生成upfine文件 , 如果在win上生成在復制上去可能會登陸失敗 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
賦予600權限:chmod 600 upfine,使用ssh icex64@192.168.1.4 -i upfine進行ssh登錄,輸入密碼:P@55w0rd!即可登錄成功 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
連接之后在目錄下發現了user.txt,找到了第一個flag 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
水平越權:
查看下當前用戶可以用 sudo 執行那些命令,發現了heist.py文件 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
查看下heist文件,發現通過webbrowser打開了一個連接,查找下webbrowser,但是很多顯示沒有權限,但是這里想到了sudo -l中一個python3.9,命令:find /usr -name *webbrowser*,發現webbrowser.py文件 。
【vlunhub靶場之EMPIRE: LUPINONE】
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
查看該文件的權限,發現該文件具有root權限且當前用戶具有編寫權限,命令:ls -al /usr/lib/python3.9/webbrowser.py 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
因此在該文件中寫入shell , 代碼:os.system("bin/bash") 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
然后再用 arsene 調用 /home/arsene/heist.py , 獲取arsene權限,命令:sudo -u arsene python3.9 /home/arsene/heist.py 。
vlunhub靶場之EMPIRE: LUPINONE

文章插圖
提權:
查看下當前用戶可以用 sudo 執行那些命令 。
vlunhub靶場之EMPIRE: LUPINONE

推薦閱讀