TheHackersLabs Sedition writeup

信息收集

arp-scan

nmap

获取userflag

从nmap扫描的结果来看，目标主机开放了smb服务，然后ssh服务部署在了65535号端口上，先用smbmap看一下目标smb服务共享了哪些目录，以及相应的权限

1. smbmap -H 192.168.43.29

复制代码

有一个backup目录，是只读权限的，通过mount将它挂载到本地

1. mount -t cifs //192.168.43.29/backup /mnt/backup

复制代码

是没有设置密码的，所以直接回车就好了

有一个zip文件，将它cp出来，然后尝试解压

发现需要输出密码，这里让GPT写一个爆破脚本即可

拿到密码后去解压那个zip文件，解压后会得到一个password文件

这应该是一个用户的密码，但是现在我们不知道它是哪个用户的，这里可以通过kali中的 enum4linux 工具来枚举，这个工具能快速枚举出windows/linux上与SMB服务有关的信息

1. enum4linux -r 192.168.43.29
2. # -r：通过rid来枚举用户

复制代码

这里枚举出了两个用户，上面那个password是cowboy用户的，ssh上去

并没有发现userflag，那么userflag应该是在debian用户里了，但发现这里.bash_history文件是保留的，history看一下

这个 mariadb 可以直接理解为是mysql，这里就反应了目标是起了mysql服务的，连接上去后在数据库里就可以找到debian的密码

当然这样直接输入是不行的，得先md5解密一下，可以去这个网站：https://crackstation.net/
或者直接通过 john 跑：

1. echo 7c6a180b36896a0a8c02787eeafb0e4c > test
2. john test --wordlist=/root/dict/rockyou.txt --format=raw-md5

复制代码

然后su切过去，在家目录里就可以拿到userflag了

userflag：a0a5588557dea7813c3d4631d8c6371d（MD5之后）

 获取rootFlag

sudo -l 看一下

可以通过sed来提权（直接去GTFobins上找利用方案）

1. sudo sed -n '1e exec /bin/bash 1>&0' /etc/hosts

复制代码

 

rootflag：2b8d10588b4d8702536df00bd7106782（MD5之后）

 

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！