本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/rickdiculouslyeasy-1,207/
nmap -n -p- -sC -sV 192.168.56.101 -o rick.nmap
根据nmap的扫描结果可以知道第一个FLAG.txt ,通过ftp匿名登录,下载FLAG.txt
第二个FLAG是根据扫描的结果开放的9090端口直接web访问获得
第三个flag直接通过开放的端口60000使用nc进行访问获取
第四个flag是通过访问80端口,使用burp进行目录爆破获取
根据上述访问获得的目录,访问passwords.html页面,得到密码相关信息
上述是使用burp的发现目录功能,现在使用下scan-crawl,发现了robots.txt信息
发现有价值的信息,访问这些目录路径看看
经过测试发现存在命令执行
那么确认下是否存在nc,如果存在nc,且有-e参数,那么使用nc反弹shell,这里也可以不反弹,直接在此处执行命令
确认nc存在,那么我们直接使用nc反弹
想查看有几个用户,但是发现cat命令不能正常使用,这里使用nl命令查看
发现存在3个用户,分别为RickSanchez,Morty,Summer
那么我们使用这3个用户分别使用上面获得的密码winter去试试
经过尝试发现密码winter刚好是用户Summer这个用户,测试的时候发现开放的22端口是不能连接,根据nmap的扫描记过,试了下开放的22222端口,发现是可以的
上述已经获得了第五个flag
查看其他用户信息,将其他用户的文件拷贝到Summer用户本地
发现journal.txt.zip是需要密码才能解压,看到关键字Safe_Password.jpg,通过nc的方式传递到本地kali,然后使用strings命令进行查看
得到密码,解压压缩包获得flag
这时候看看可执行文件safe
发现需要命令参数,那使用上面journal.txt的内容131333看看
根据上面的提示,知道rick有sudo权限,并且知道密码提示信息是一个为大写字母,一个是数字,其他是旧团队的名字,通过Google搜索RickSancheZ
那么根据上面的提示要求,生成对应的密码字典
使用下面两个命令中的其中一个进行暴力破解
hydra -l RickSanchez -P rick.txt -t 4 ssh://192.168.56.101:22222 hydra -l RickSanchez -P rick.txt -t 20 192.168.56.101 ssh -s 22222
最终得出用户名是 RickSanchez 密码是P7Curtains,得到密码通过su直接切换至用户RickSanchez
确认进入该用户具备sudo提权为root用户权限,直接进入root用户获得最终的flag
