本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

地址:​​https://www.vulnhub.com/entry/rickdiculouslyeasy-1,207/​

nmap -n -p- -sC -sV 192.168.56.101 -o rick.nmap

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_压缩包

根据nmap的扫描结果可以知道第一个FLAG.txt ,通过ftp匿名登录,下载FLAG.txt

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_02

第二个FLAG是根据扫描的结果开放的9090端口直接web访问获得

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_压缩包_03

第三个flag直接通过开放的端口60000使用nc进行访问获取

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_04

第四个flag是通过访问80端口,使用burp进行目录爆破获取

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_压缩包_05

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_06

根据上述访问获得的目录,访问passwords.html页面,得到密码相关信息

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_07

上述是使用burp的发现目录功能,现在使用下scan-crawl,发现了robots.txt信息

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_08

 发现有价值的信息,访问这些目录路径看看

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_09

 经过测试发现存在命令执行

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_10

那么确认下是否存在nc,如果存在nc,且有-e参数,那么使用nc反弹shell,这里也可以不反弹,直接在此处执行命令

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_11

确认nc存在,那么我们直接使用nc反弹

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_12

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_13

想查看有几个用户,但是发现cat命令不能正常使用,这里使用nl命令查看

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_压缩包_14

发现存在3个用户,分别为RickSanchez,Morty,Summer

那么我们使用这3个用户分别使用上面获得的密码winter去试试

经过尝试发现密码winter刚好是用户Summer这个用户,测试的时候发现开放的22端口是不能连接,根据nmap的扫描记过,试了下开放的22222端口,发现是可以的

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_15

上述已经获得了第五个flag

查看其他用户信息,将其他用户的文件拷贝到Summer用户本地

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_16

发现journal.txt.zip是需要密码才能解压,看到关键字Safe_Password.jpg,通过nc的方式传递到本地kali,然后使用strings命令进行查看

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_17

得到密码,解压压缩包获得flag

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_18

这时候看看可执行文件safe

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_19

发现需要命令参数,那使用上面journal.txt的内容131333看看

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_ip地址_20

根据上面的提示,知道rick有sudo权限,并且知道密码提示信息是一个为大写字母,一个是数字,其他是旧团队的名字,通过Google搜索RickSancheZ

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_压缩包_21

 Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_22

 那么根据上面的提示要求,生成对应的密码字典

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_23

使用下面两个命令中的其中一个进行暴力破解

hydra -l RickSanchez -P rick.txt -t 4 ssh://192.168.56.101:22222
hydra -l RickSanchez -P rick.txt -t 20 192.168.56.101 ssh -s 22222

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_24

最终得出用户名是 RickSanchez 密码是P7Curtains,得到密码通过su直接切换至用户RickSanchez

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_root用户_25

确认进入该用户具备sudo提权为root用户权限,直接进入root用户获得最终的flag

Vulnhub-靶机-RICKDICULOUSLYEASY: 1_压缩包_26

 

迷茫的人生,需要不断努力,才能看清远方模糊的志向!