滲透測驗實戰-Vulnhub-Matrix-有解無憂

Matrix - 幕布

Matrix

前期準備
- 基本資訊
  - get root and read flag
- 探測主機（netdiscover/arp-scan）
  - 發現目標IP為192.168.1.26
- 埠掃描(nmap)
  - HTTP服務 80埠，其他埠也可以嘗試訪問
- 訪問服務及埠
  - HTTP
    - 如圖的一個界面，頁面顯示follow the rabbit,在下方有一只很小的兔子圖片，在源代碼中可以找到相應的地址
  - 6464埠沒有什么
  - 7331訪問后是一個需要登錄的界面
- 對網站進行掃描（Nikto）
  - 沒有看到特別有用的資訊
- 對網站的目錄進行爆破
  - 似乎爆破出來的目錄不是很多啊，可能存在沒有檢測到的，在assets目錄下也沒有什么，也沒有robots.txt
進一步探索
- 之前看到的follow the rabbit,我們查看其源代碼
  - 訪問后沒有什么特別的
- 通過看別人的writeup知道，這個Matrix can show you the door是有含義的，就嘗試訪問Matrix目錄
  - 確有此目錄，接著就是一波探索
- 在 /Matrix/n/e/o/6/4/下找到了一個secret.gz 檔案
  - 注意
    - Neo
  - 檔案
  - 下載并解壓查看，發現無法解壓，發現是一個文本檔案，里面是admin加密后的密碼
  - 嘗試后發現是通過MD5加密，解密得到
- 現在得到了一個密碼，用戶名應該就是admin,猜測可以用于登錄前面7331埠的那個界面
  - 對這個埠進行目錄的爆破,爆破時需要給與用戶名和密碼作為引數，否則可能沒有認證
  - 對這些目錄進行探索
    - robots.txt
    - assets與之前看到的是一樣的
    - data
      - 在kali上打不開，是一個windows下的檔案
        
        下載時需要認證
        
        提示
    - 對data進行反匯編
      - 使用IDA進行反匯編
        
        選擇相應的選項
        
        在Kali上顯示80386，應該選擇第一個Microsoft .Net assembly
        
        在反匯編結果中看到了了用戶名和密碼
        
        guest :7R1n17yN30
利用找到的用戶名和密碼登錄SSH 不太清楚為什么6464可以是SSH的埠
- 登錄成功
  - 但是一些基本的命令使用不了
- 獲取完整的shell,查到有兩種方法
  - 一
    - 使用 -t “bash --noprofile” 來禁止相關的啟動腳本，從而獲得完整的 shell
    - 需要通過重新連接SSH 在最后加上以上的引數
  - 二
    - 先查看可執行命令的路徑
    - 使用vi進入輸入行的地方，輸入！/bin/bash回車就可以執行命令
提權
- 思路
  - 查看當前用戶可以執行root的命令
  - 先將guest原有的ssh密鑰洗掉生成新的，復制到用戶trinity
- 洗掉并生成新的密鑰
  - 注意洗掉的命令：rm -rf .ssh 重新生成密鑰：ssh-keygen
- 給新生成的檔案已經.ssh賦予權限
  - chmod 777 .ssh
  - chmod 777 id_rsa.pub (可能需要進入到.ssh目錄下)
- 將生成的id_rsa.pub復制給trinity
  - sudo -u trinity /bin/cp .ssh/id_rsa.pub /home/trinity/.ssh/authorized_keys
- 然后使用 ssh 攜帶 guest 的密鑰在環回介面登錄trinity
- 查看用戶trinity的權限
  - 可以執行oracle檔案
  - 但是并沒有這個檔案
- 可以將/usr/bin/bash 檔案復制給oracle，然后直接運行提權
  - 發現并沒有用，發現是沒有賦予執行可執行權限
  - chmod +x oracle
  - 再運行./oracle發現還是不行
  - 原因是沒有sudo 繼續sudo ./oracle ,得到root權限，查看flag