渗透测试实战-Vulnhub-Matrix

Matrix - 幕布

Matrix

前期准备
- 基本信息
  - get root and read flag
- 探测主机（netdiscover/arp-scan）
  - 发现目标IP为192.168.1.26
- 端口扫描(nmap)
  - HTTP服务 80端口，其他端口也可以尝试访问
- 访问服务及端口
  - HTTP
    - 如图的一个界面，页面显示follow the rabbit,在下方有一只很小的兔子图片，在源代码中可以找到相应的地址
  - 6464端口没有什么
  - 7331访问后是一个需要登录的界面
- 对网站进行扫描（Nikto）
  - 没有看到特别有用的信息
- 对网站的目录进行爆破
  - 似乎爆破出来的目录不是很多啊，可能存在没有检测到的，在assets目录下也没有什么，也没有robots.txt
进一步探索
- 之前看到的follow the rabbit,我们查看其源代码
  - 访问后没有什么特别的
- 通过看别人的writeup知道，这个Matrix can show you the door是有含义的，就尝试访问Matrix目录
  - 确有此目录，接着就是一波探索
- 在 /Matrix/n/e/o/6/4/下找到了一个secret.gz 文件
  - 注意
    - Neo
  - 文件
  - 下载并解压查看，发现无法解压，发现是一个文本文件，里面是admin加密后的密码
  - 尝试后发现是通过MD5加密，解密得到
- 现在得到了一个密码，用户名应该就是admin,猜测可以用于登录前面7331端口的那个界面
  - 对这个端口进行目录的爆破,爆破时需要给与用户名和密码作为参数，否则可能没有认证
  - 对这些目录进行探索
    - robots.txt
    - assets与之前看到的是一样的
    - data
      - 在kali上打不开，是一个windows下的文件
        
        下载时需要认证
        
        提示
    - 对data进行反汇编
      - 使用IDA进行反汇编
        
        选择相应的选项
        
        在Kali上显示80386，应该选择第一个Microsoft .Net assembly
        
        在反汇编结果中看到了了用户名和密码
        
        guest :7R1n17yN30
利用找到的用户名和密码登录SSH 不太清楚为什么6464可以是SSH的端口
- 登录成功
  - 但是一些基本的命令使用不了
- 获取完整的shell,查到有两种方法
  - 一
    - 使用 -t “bash --noprofile” 来禁止相关的启动脚本，从而获得完整的 shell
    - 需要通过重新连接SSH 在最后加上以上的参数
  - 二
    - 先查看可执行命令的路径
    - 使用vi进入输入行的地方，输入！/bin/bash回车就可以执行命令
提权
- 思路
  - 查看当前用户可以执行root的命令
  - 先将guest原有的ssh密钥删除生成新的，复制到用户trinity
- 删除并生成新的密钥
  - 注意删除的命令：rm -rf .ssh 重新生成密钥：ssh-keygen
- 给新生成的文件已经.ssh赋予权限
  - chmod 777 .ssh
  - chmod 777 id_rsa.pub (可能需要进入到.ssh目录下)
- 将生成的id_rsa.pub复制给trinity
  - sudo -u trinity /bin/cp .ssh/id_rsa.pub /home/trinity/.ssh/authorized_keys
- 然后使用 ssh 携带 guest 的密钥在环回接口登录trinity
- 查看用户trinity的权限
  - 可以执行oracle文件
  - 但是并没有这个文件
- 可以将/usr/bin/bash 文件复制给oracle，然后直接运行提权
  - 发现并没有用，发现是没有赋予执行可执行权限
  - chmod +x oracle
  - 再运行./oracle发现还是不行
  - 原因是没有sudo 继续sudo ./oracle ,得到root权限，查看flag

以上内容整理于幕布