Inferno

現(xiàn)實(shí)生活中的機(jī)器+CTF。該機(jī)器被設(shè)計(jì)為現(xiàn)實(shí)生活（也許不是？），非常適合剛開(kāi)始滲透測(cè)試的新手

“在我們?nèi)松贸痰闹型?#xff0c;我發(fā)現(xiàn)自己身處一片黑暗的森林中，因?yàn)橹苯亓水?dāng)?shù)牡缆芬呀?jīng)迷失了。我啊！說(shuō)這森林野蠻、粗獷、嚴(yán)厲，這是多么難說(shuō)，這在一想到中又讓人感到恐懼。

機(jī)器上有 2 個(gè)哈希鍵（用戶(hù) - 本地.txt和根 - 證明.txt），你能找到它們并成為 root 嗎？

請(qǐng)記住：在地獄的九個(gè)圈子中，您會(huì)發(fā)現(xiàn)一些惡魔會(huì)試圖阻止您的訪問(wèn)，忽略它們并繼續(xù)前進(jìn)。（如果可以的話(huà)）

---

端口掃描

循例 nmap

開(kāi)了一大堆端口

Web枚舉

目錄掃描

gobuster掃

一個(gè)登錄框

由于掃描也沒(méi)有掃到太多東西，沒(méi)有什么信息，這里選擇爆破admin

登錄進(jìn)去又是一個(gè)登錄框，使用剛剛的憑據(jù)就可以登進(jìn)去

登錄進(jìn)去一個(gè)web ide

但是嘗試編輯php寫(xiě)入shellcode的時(shí)候，卻無(wú)法保存

RCE to Reverse Shell

使用searchsploit發(fā)現(xiàn)存在rce

但是由于進(jìn)入/inferno需要http登錄，這個(gè)exp不能直接用

需要為exp中的所有http請(qǐng)求添加認(rèn)證的請(qǐng)求頭：

    headers = {'Authorization': 'Basic Y**********x'}

執(zhí)行exp

但是這個(gè)shell沒(méi)過(guò)多久就會(huì)被殺死

這里使用msfvenom的-k參數(shù)生成一個(gè)shellcode

再次運(yùn)行exp之后，利用msfvenom生成的shellcode

此時(shí)，shell已不會(huì)再被殺死

橫向移動(dòng)

在我使用pty升級(jí)shell為bash的時(shí)候，我發(fā)現(xiàn)沒(méi)過(guò)多久這個(gè)bash就被自動(dòng)執(zhí)行exit，但我使用/bin/sh就不會(huì)這樣，這意味著/bin/bash可能被監(jiān)控

不過(guò)沒(méi)關(guān)系，使用/bin/sh也可以

在dante家目錄的Downloads下發(fā)現(xiàn)一個(gè)可疑文件

查看這個(gè)文件，發(fā)現(xiàn)是一些長(zhǎng)得跟16進(jìn)制一樣的數(shù)據(jù)

使用xxd轉(zhuǎn)換

直接得到了一串似乎被打亂了的英文和dante的密碼

但似乎并不是凱撒密碼之類(lèi)的，先不管了，su過(guò)去再說(shuō)

su過(guò)去之后發(fā)現(xiàn)又會(huì)自動(dòng)exit

直接/bin/sh使用sh就好了

權(quán)限提升

有密碼做的第一件事應(yīng)該是查看sudo -l

查看linux的living off the land

可以越權(quán)寫(xiě)入文件

首先使用openssl生成密碼hash，然后組裝

hackerM:$1$hack$eu7wA.3faDMt9Z2srODT9/:0:0:hackerM:/root:/bin/bash

利用tee寫(xiě)入passwd

su過(guò)去

getroot