09 - VIKINGS:1

09 - VIKINGS: 1

0x01 下载地址

LogoVikings: 1www.vulnhub.com

0x02 靶机目标

获取root权限+2 Flag

0x03 工具准备

  • Cyberchef

LogoCyberChefgchq.github.io

  • 隐写探测工具steghide

  • 素数查找/科拉茨猜想

0x04 详细步骤

主机发现

端口扫描

Web信息收集

浏览器访问http://10.0.0.8

浏览器访问http://10.0.0.8/site/,加载特别慢,特别提到了一个人名Ragnar

目录扫描

浏览器访问[http://10.0.0.8/site/war.txt](http://10.0.0.8/site/war.txt)

浏览器访问[http://10.0.0.8/site/war-is-over/](http://10.0.0.8/site/war-is-over/)

文件解密

把该段内容放入CyberChef进行解密,调用From Base64模块得到

把该段内容放入CyberChef进行解密,调用From Base64Entropy模块得到

把该段内容放入CyberChef进行解密,调用From Base64Detect File Type模块得到该串字符为zip格式文件

把该段内容放入CyberChef进行解密,调用From Base64模块,并将解密后的文件保存成zip文件提取出来

保存为a.zip文件,下载到本地

解压该文件需要解压密码

破解zip解压密码

文件格式转换

字典准备

执行破解,得到解压密码为ragnarok123

解压a.zip文件,得到一个king图片

隐写内容提取&二进制文件提取

查看隐写文件,发现需要密码

可以尝试使用shell爆破隐写密码,不推荐使用(字典无法破解成功,且效率低)

使用binwalkking包含文件进行分析

使用binwalkking文件进行提取

查看提取文件

猜测user文件包含得内容可能就是ssh登录得密码,最终使用flokif@m0usboatbuilde7登录系统

素数查找/科拉茨猜想

根据提示信息,解密boat文件获取ragnar密码

#第29个素数,科拉茨猜想

把以上数字序列放入CyberChefFrom Decimal模块转换为asc字符,注意分隔符选择Comma逗号

CyberChef再加入Strings模块,显示可打印字符,注意选择最短字符为1

去掉换行符后得到

使用ragnarmR)|>^/Gky[gz=\.F#j5P(再次登录主机

rpyc,root提权

由于ragnar账号登录系统后sudo提示了一些错误信息,猜想某些登录配置文件可能执行了某些程序或指令,故依次查看

发现.profile中有调用sudo程序的,故去查看rpyc_classic.py脚本

切换bash

查看rpyc_classic.py脚本,使用rpyc模块

查看rpyc_classic.py权限,有执行权限,没有修改权限

通过简单阅读rpyc官方手册[https://rpyc.readthedocs.io/en/latest/tutorial/tut1.html](https://rpyc.readthedocs.io/en/latest/tutorial/tut1.html)得知

rpyc默认监听在18812端口上,可用通过构造teleport方法运行系统命令

故构造攻击脚本为

执行exp.py

重新使用ragnar账号登录系统,输入两次密码,sudo -s提权成功

查询flag

上一页08 - Y0USEF 1下一页26 - SCHOOL: 1

最后更新于

这有帮助吗?