HA: Pandavas
Vulnhub靶场
下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/
背景:
Pandavas are the warriors of the most epic tale of Mahabharat. And through this CTF we will go on the ordeal of betrayal and honour with them, to claim their rightful throne of Hastinapur. In this CTF there are five flags named after each Pandava:
Sehdeva
Nakula
Arjuna
Bheema
Yudhishthra
查看开放的端口
在网页翻了多遍及目录扫描均没有发现什么,可疑的就是有5个人的照片没有加载出来,而且有两人的图还是用的一样的,扫描该目录也没有发现什么。
实在没有发现什么,试试UDP端口扫描吧,还好有个希望,前面的22端口也不是弱口令来的。
UDP161端口是snmp,SNMP是允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
在http://www.net-snmp.org/下载net-snmp,并使用snmpwalk连接。
snmpwalk -v 2c -c public 192.168.139.136
获取到第一个falg,Sahadev:{96f855588d07e10cbf5dcae2d6e68802}
在下方还发现其他信息,UUID。
UUID(Universally Unique Identifier)全局唯一标识符,是指在一台机器上生成的数字,它保证对在同一时空中的所有机器都是唯一的。
系统联系人:karna? 尝试22端口SSH的爆破。
通过常用密码爆破没有成功,在靶机环境下密码可能会是某个展示的单词。
利用打靶常用工具cewl收集网页的
获取到密码,登陆SSH看看。
查看用户 cat /etc/passwd
并利用同样的字典进行爆破,成功了。
先查看/var/www/html下还有存在什么漏掉的东西吧。 Bhagavad
下载hidden.docx看看。
换个方式?直接二进制打开
先找找别的看看。
find / -user root -perm -4000 -print 2>/dev/null 查询suid文件
sudo -l 显示出自己(执行 sudo 的使用者)的权限
find / -type f -perm 777 -exec ls -l {} \; 2>/dev/null 查询777权限文件
通过这些判断当前用户能够通过那些手段进行提权。
没有发现什么可利用的点,切换用户试试。
su krishna
password: Bhagavad
同样,查找可以提权的点
再使用sudo -l 查看该用户的权限。
所有文件都有权限啦。
这还需要提权吗?直接sudo ls root
sudo cat /root/root.txt
这最后一个提权后的flag才是我找到的第二个flag。
Yudhisthir:{5fab0ed30446ef51d9f63b8f48abec66}
这里有mysql服务在运行。
查看下docker有无容器吧
sudo docker exec -it 41 /bin/sh
Bhim:{5feb129bd7fb78718c27b4599c25c5ea}
将aWduaXRlQDEyMw== Base64解密为ignite@123
sudo docker exec -it 07 /bin/sh
进入sql容器
show databases;查看所有的数据库
进入该数据库看看。
Arjun:{77bec3886fb88366cf4118eac979c640}
最后还差docx那个flag没有找到。