攻防靶场(48)：一个Web扫描大小写的坑 Vegeta1

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP。

1.3 字典扫描

扫描80/HTTP服务的目录和页面，发现/robots.txt页面。

在/robots.txt页面中发现/find_me/目录。

在/find_me/目录中发现find_me.html文件。

在/find_me/find_me.html文件中发现一串base64编码的字符串。

两次base64解码后，获得PNG图片。

图片是一个二维码，识别后内容是一个密码。

使用vegeta以及常见用户名，爆破22/SSH的弱口令，均失败，是个兔子洞。

1.4 字典扫描

使用一个更大的字典（8万）扫描80/HTTP服务的目录和页面，没发现大货。

使用一个超大的字典（22万）扫描80/HTTP服务的目录和页面，还是没发现大货。

目标站点是Linux服务器，对大小写敏感，换一个全小写的字典重新扫描，发现/bulma/目录。

2. 初始访问

2.1 有效账户：本地账户

在/bulma/目录中发现hahahaha.wav文件。

下载后打开，听着像是摩斯密码。使用在线平台识别，获得一个帐号密码。

使用帐号密码登录22/SSH，获得trunks用户权限。

3. 权限提升

3.1 账户操纵：SSH账户文件

当前用户有/etc/passwd文件的write权限。

编辑/etc/passwd文件，添加特权用户，帐号密码都是OneMoreThink。

切换到OneMoreThink用户，获得root用户权限。