00:00
今天呢,我们继续来打靶啊,我们打的呢,是这个叫行星的这个靶场啊,地球这个靶场,然后呢,我们呃还是啊常规套路,我们还是要给他来这个,呃存活扫描啊,杠SP192.16 8.56.0-24啊首先看看我这个网段里头啊,它处于什么位置上。呃,这个扫描可能今天这个扫描可能都比较慢啊,这个稍微等一下。好出来了还是啊,我们首先网关自己啊,那这肯定就是我们的这个靶机了啊,那首先我们还是创建一个笔记啊,记录一些关键信息。好,然后呢,我们直接n map-P杠啊,全端口扫描啊,看看都开了什么样的这个端口。
01:13
嗯。那我直接两个一起扫。然后再来扫一个n map-SV啊,然后杠A192.168.56.112啊,这个呢是去扫他的这个服务版本啊。啊,现在呢,我们两个一起扫啊。
02:00
啊,这边先出来了啊,那这边先出来,这边可以不用等了,我们直接看一下这边啊三个端口2280443啊也就是说呢,我们现在呢,有这个三个端口开着的,首先呢是二二端口的这个open s sh8.6的这个服务,然后呢是八零端口啊,八零端口呢是一个HTP啊帕奇的一个东西啊,但是这个端口有点玄妙啊,一会儿我们来再看一下,然后第三个呢,就是这个443的一个HTTB的一个阿帕奇啊,那这两个呢,都是阿帕奇啊,但是呢,有什么区别呢?443,你可以看到后边有一个这个open s SL啥意思呢?就是它加上了SSL啊协议呢,就是其实呢,就是两个两个我们的这个HTP服务的区别啊,一个是HTTP,这是八零,而我们的43端口,因为加了SSL啊,其实它是HTTP加SSL啊,也就是什么呢?也就是HTTPS啊,所以说呢,这是它两个端口的一个区别。
03:01
但是要注意一点是什么呢?就是我们的这个八零端口,它有一个400的一个坏的返回啊,那这个是因为什么呢?我们可以往下看啊,我们这个下边呢,有一个这个提示啊,我们可以看一下这个位置上,这个位置上呢,是这个四三端口的里边的一个提示啊,它里边提示说啊,有两个DNS啊,一个是这个域名,一个是这个域名啊,那所以说呢,我们在本地的需要修改一下host啊,那我们首先把这两个东西呢,给它复制出来,复制出来之后呢,把这两个这个前面的DNS删掉啊,然后呢,给它进行一下换行啊,因为我们要改好了再往里粘贴嘛,比较方便啊。好,192.168.56.102啊,这是一个,然后呢是幺九二点幺六八点五六点,不是102112啊,112112啊这两个,然后呢,我现在速度啊,注意一定要速度啊,不然你改不了它VM啊ETC下的host这个文件啊,然后输入你的输入的一个密码,关联密码,然后接下来呢,我们啊进行输入啊,输入之后呢,我们给它换个行啊在这儿换个行。
04:11
没我没按住I是吗?挨一下啊,然后换完行之后呢,把它们俩呢进行一个这个复制,复制完事之后呢,在这按shift加这个insert啊,然后给它插进去,插进去之后呢,你可以看到啊,有点不对齐啊,这无所谓,其实这个功能是不影响的啊,我们直接往后对一下,然后ESC啊冒号WQ进行保存啊,保存完事之后呢,我们现在呢,就有了这么几个东西啊,首先呢是htt啊TP的这个路径,然后是HTTX的这个路径。啊,有有有这些东西啊,然后呢,我们现在呢,可以来给它进行一下访问啊,来观察一下啊,我们直接打开浏览器。好,现在呢,我们来看一下浏览器啊,这个第一个是这样的啊,那么里边呢,没有什么关键的信息啊,你可以看到啊,里边呢,比较关键信息这么三条啊,一个我们挨个给他copy下来,这是一个,然后再来一个啊,我们给他换个行啊两个。
05:10
然后三个啊,底下有这么三个东西啊,我直接用一下那什么吧,用note加加打开吧,这样的话看着可能比较方便啊。好,然后呢,我们现在呢,加样之后呢,我们可以看到啊,我们这个呃,这三个啊,这三个已经保存在这儿了,保存在这之后呢,首页呢,我们可以看到它就这么点提示,这是一个message啊,然后你随便写点什么东西可以send message啊,然后它就添加到底下了了啊看见了吧啊这个就是这么一个简单的功能啊另外呢,我们直接右键啊,可以看一下它这个源码,你可以可以看到啊,是没有什么东西的啊然后呢,接下来呢,我们可以对其呢进行一个这个目录爆破吧啊现在因为没什么东西可以看啊不对,我们还有一个路径没看啊,还有一个它的这个HTPS的这个路径没看,我们再来看一下这个啊来看一下啊,它这里头只有这么一个东西啊,那么既然没有东西,那么接下来呢,我们进行一个目录爆破,DRCHCH-U啊,然后是HTTP杠杠啊,然后这个东西。
06:15
这个HTTP的这个。粘贴选区回车,然后他开始扫描啊。可以看到啊,已经扫除了admin啊和admin log啊。这是我们TP扫描的扫出扫描出来主要是几个录的一个路径啊,那我们先把这个路径可以给它拼接之后啊,然后给它呃,保存一下啊。首先呢,它的这个目标呢,肯定是这个啊,以这个为开头的,然后后边啊,在拼接上,我们比如说这个logo啊之类的东西啊,那我把这三个啊都给它复制下来。
07:07
复制景区啊,在它底下。好,然后呢,再接下来呢,就是我们的HTTPS啊,我们这个呢,也要来扫一下啊,给它直接清空吧。然后啊,咱们来扫一下这个HTPS的一个路径。粘贴回车啊,然后来扫A看一下啊。杠u htp啊,这少两个斜杠啊。好,然后他开始扫描,你可以看到东西的,它会多一些啊。现在都是403,然后这index呢,已经是200了啊,所以说呢,它是有200的东西的。
08:12
扫完之后呢,我们可以看到啊,它这里边呢,200的这个返回呢,是两个啊,那我把先把这两个200给它给它拿出来啊,一个东西呢,是我们的这个首页,一个是这个,呃,它的一些这个信息啊,点TST的一些信息,那我们把它的这个目标呢,也先给它复制出来啊,复制。啊放在这儿,那现在呢,我们就拿到这么多东西,那首先呢,我们肯定还是来看一下它的这个登录页面啊,那我们直接啊,对它的登录页面呢,对它呢进行一个拼接啊,然后拼接完事之后呢,进行访问。访问之后呢,你可以看到就是一个log个页啊,简单的登录界面也没什么东西啊,那我们右先看一下这个页源码啊,你可以看到也没有什么亮点啊,那我们现在呢,先这样,接下来呢,就是这边啊index这个就不说了啊,这个很明显有点用啊,我们来看一下它这个提示信息里边有些什么东西啊,它其实不是提示信息啊,这是反扒的啊,然后呢,我们来啊再看一下啊,你可以看到有这么多东西,User isn't啊,然后最后呢,有一个这个目录啊,这个东西很明显啊,这个是一个提示啊,那我们直接把它复制下来一个copy啊拿回来,拿回来之后呢,很明显它也是应该接在我们HTPPS后边的,但是呢,它最后的结尾啊是没有的,那么我去尝试了一下,它的结尾是TST啊,然后呢,我们回车啊,直接复制,复制完之后给它粘贴啊,它这个老弹出来有点烦啊,我给他关了啊。
09:37
好,继续啊,然后呢,它会有这么一个页面啊,那这个页面呢,如果不出意外的情况下,很明显它也是一个这个提示啊,我打开这个TST之后,它也是一个提示,简单来说呢,就是它这里呢,是用这个易货呢加易货加密作为算法的啊,然后呢,它并不是特别的安全啊,然后呢,有一个这个字典文件是t ST data.tst这个东西,然后呢,还有一个呢,是用户名啊,那这里头呢,主要的关键点呢,就是这两个东西,首先呢,用户名这个东西呢,我们需要给它保存下来,这个username呢,肯定是用来登录的啊,那一会儿我们测试用那么字典啊,这有一个字典啊,我们把这个字典呢给它拼接到后边去啊,我们给它copy一下,然后拼接到后边,我们来看一下它。
10:26
回车,诶,找到这个字典了啊,我们直接把这个字典给拷出来,拷出来之后这就是字典啊,然后呢,按他的说法呢,我们要使用这个异或进行加密啊,那么解用来解密的东西呢,不出意外呢,就是前面这三个提示这个字符串啊,那我们现在呢,需要来一个简单的脚本啊,对它呢进行一个解密啊,那我们在这儿啊,直接这个我在外边写吧,外边写比较方便啊啊那么我们就应该是直接先包含一个imq rt啊,然后。是b ask。然后我们在这儿呢,需要给它来一个字符串。
11:04
等于啊,这里边放的呢,就是我们要解密的东西啊,这个我已经尝试过了,就不挨个试了,前两个没用啊,我们要解的是第三个啊,我们复制一下,然后给它放进来。放进来之后呢,现在呢,我们就拥有了这个提示,呃呃,我想想啊啊对,我们拥有了这个提示字符串啊,有了这个提示字符串之后呢,那么接下来呢,我们就还是需要这个字典文件啊,也就是这个pass啊pass等于这个我们刚才的那个,我们刚才不是有一个网页,我们提出字典来了啊,那我们去这个字典里啊,把它拿出来,就这个东西啊,然后复制啊给它放在这啊,这个呢就是我们当做一个这个字典来使用的,然后呢,我们要把这个字典呢,从成这个这这现在这种字符形式啊,来给它转成这个十进制。26啊,等于b ask b ask.b to ask啊,然后16进制的,然后呢,我们用这个pass。
12:14
pass.n扣的解码。嗯,解码给它写成UTF8N code等于UTF杠八。然后再给他抵扣的乘UTF杠八。PC。不对,这玩意儿应该写里头。好,最后呢,我们再把运算的结果呢,转换成字符串啊。
13:06
Buffer等于b ask点。嗯,不对,我想想啊,这应该再给他。中间应该再给他进行一个抑或操作啊。Hes。抑或?然后是我们的这个。
14:22
嗯,想想这样写对不对,应该把这个放在这儿。16进制,然后解一下,然后上边呢,这是易货运算,上边应该是。也是一样的。应该。
15:06
好,然后呢,这边呢,On us给他接一下它的返回值,然后点抵扣de。UTF8。哎,早知道我应该在上面装个PR嘛,我操PT啊,然后来打印一下他的这个之后的这个buff啊。好,如果没什么问题的情况下呢,他现在应该能用了啊,但也不好说啊,因为这个写的比较乱啊,我们复制一下,然后呢,直接给他VM一个2k.PY进去。占据之后再检查一下啊。Pass等于,呃,不行,这个pass不对啊,这个pass是关键字啊。
16:12
我直接退出吧,在这边改的。Buff。尝试一下运行回车啊,不对。少个点儿。嗯,这个点是在。6800。
17:03
啊,在这烧个店。执行好截出来了解出来之后呢,我们把它复制一下。好粘贴,粘贴之后呢,可以发现它是有一定规律的啊,它是在不停的重复啊,应该是重复到。重复到。嗯,应该到这儿啊,我们来看一下啊,对它每每一个都是在重复这个东西。好,那这个东西不出意外的情况下,应该是咱们的密码啊,那咱们的账号呢,在刚才找到了账号的上边是这个,那这底下这个呢,就是它的password啊。Pass word好,这是账号密码,那有了账号密码之后呢,我们可以尝试登录一下啊,那在哪登录呢?在刚才呢,我们在解析的信息的时候,找到了一个log in啊,那我们直接啊来给到log in,这好,那现在呢,我们开始给它进行一个登录。
18:16
账号密码,然后log个in,呃,不保存啊,然后这呢,他告诉你这块能够执行指令啊,那我们直接输入一个指令来尝试一下啊,Run一下啊,你可以看到确实把这个根目录给这个遍历出来了,所以说呢,这个玩意儿呢,它是可以进行指令执行的,那既然能能执行命令呢,那我们肯定是想比如说直接去执行个这个什么反杀什么的啊,但是我们先不管它,我们先ID。我们来看一下这个当前账号的一个权限啊。啊,一个阿帕奇的一个权限,应该就是一个外部权限啊,应该没什么东西,然后呢,接下来呢,我们,呃,根据我们这个靶机啊,它这个首页上一个提示,它里边有两个flag啊,那我们现在呢,来搜一下这个flag啊。
19:06
我们用这个指令啊来搜的啊,搜了一下之后,里边有这么多东西啊,那这里边呢,我们要找的呢,是两个flag,一个是user flag,一个是root flag啊那么我们user flag这个东西呢,如果啊,不出意外的情况下,肯定是在root目录下有一个文件啊,那我们这个user flag呢,就不一定了啊,那我们现在刚才来看了一下啊,我们把所有带flag了出来,那么我们可以来这个简单的去寻找一下,看它里边有没有一个这个flag啊,应该是有的,我记得它里边有一个flag点天然气啊,但是现在有点乱看着啊,东西比较多呃。啊,复制出来的啊,在这里实在看不清啊。啊,在这看见了吗?这个user t ST这个啊,那我们直接啊对它呢进行一个cut。
20:01
运行啊,你看第一个flag啊,他就拿到了啊,直接抠出来了,抠出来之后呢,这个东西呢,就是所谓的第一个这个user的这个flag啊,那么接下来呢,我们就需要那个进行提权了,因为root那个东西呢,我们进不去,我们可以尝试一下啊,直接CD root,然后回车啊,你可以看到它啥也没有啊,然后呢,我们如果说进来了的话呢,我们现在LS应该是root底下的东西,我们现在遍利一下啊,你可以看到还是跟目录,因为我们进不去那个目录啊,那么接下来呢,我们就应该来一下这个靶机里边啊,具有权限的一些这个文件了啊,直接find,然后P,呃,P。等于S。F2F two啊,Two e now进行输出啊。Find。好,复制一条指令啊,然后直接粘上来运行,运行之后啊,有这么多东西都是有的啊,有这个权限的啊,然后呢,我们拷出来,拷出来之后呢,我们观察一下啊,这里边呢,比较重要的就是这个啊root啊root这个东西啊,那我们直接来给它这个进行一个查看,我们直接cut一下。
21:23
运行。哦,500啊,那这个东西看不了,看来。应该是能看的,我觉得那我们用这个PAC。Right。诶,挂了吗。啊,好像是挂了啊,我看看这边什么情况没死啊,应该是这边的问题。
22:01
啊,好像是我的咖里挂了。这边卡死了。啊,确实是我卡里挂了,右键都点不出来了啊,点的特别慢啊。半天的出来,我重启一下啊。
我来说两句