Year of the Rabbit

兔子洞。。。

---

正常流程Nmap扫开放端口

探测到开放了21、22、80端口

探测到tfp就用-A综合扫描，看能不能匿名登录。

Nmap -A 自带默认脚本探测，结果很明显没有匿名登录

转战80端口，用dirb和dirbuster扫描网站目录，这两个工具都有自己的特色

还有一个gobutser可以扫描指定后缀的文件

没有找到突破口的都可以尝试

dirbuster扫到一个assets目录返回状态码为200

访问assets可以看到两个文件，一个mp4和css

然而这个MP4没什么用，但这里放个CSS还是很可疑的。打开了看看

 

访问CSS里面有一串注释，有个隐藏的文件/sup3r_s3cr3t_fl4g.php

 

访问/sup3r_s3cr3t_fl4g.php里面是个坑，让你关了javascript，关了后傻傻看了视频也没有结果。

不关的话直接跳到YouTube，还得用BurpSuite抓下包看下猫腻

 

看了下历史的包这里有个写着隐藏目录。。。

 

访问发现里面是个图片 Hot_Babe.png，这图片肯定有猫腻

用wget下载下来，不要图片另存为

用steghide检查里面是否有隐写的文件（没有）

用exiftool查看图片信息（显然也没有）WTF！

 

然后用cat 查看图片，发现里面有ftp的账号和密码

用strings查看也一样

 

hydra**一下，-l 指定用户名 -P 指定复制出来的密码

出结果

ftpuser

5iez1wGXKfPKQ

 

登录ftp

里面有个txt文件，mget下载下来，再用ls -la确认没有隐藏的文件

 

查看一下，里面是一串像"密文"的代码。。。

 

百度一下，结果是brainfuck语言，

 

Google一下便找到解密的网站splotbrain.org

复制扔进去便得到"明文"

 

ssh登录上去便看到一段醒目的banner

提示有一个隐藏的信息

 

用find搜索一下信息，果然有个s3cr3t目录里面有个隐藏的文件

查看文件可以获得用户gwendoline的账号密码

还有gwendoline家目录下的flag

 

su切换到gwendoline用户下查看是否能用sudo提权

我尝试了使用sudo vi 进入到底行模式执行!/bin/sh但是提权不成功

这里的!root是不允许使用root权限执行sudo的

Google一下发现好像是CVE-2019-14287

参考资料：https://resources.whitesourcesoftware.com/blog-whitesource/new-vulnerability-in-sudo-cve-2019-14287

 

使用sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt进入到vi编辑器底行模式

 

输入!/bin/sh便可提权成功