vulnyx lower2 writeup

信息收集

arp-scan

nmap

获取userFlag

web依然什么东西都没有，然后通过ssh尝试登录返回以下信息：

###################################################
### Welcome to Brian Taylor's (b.taylor) server ###
###################################################

aa@192.168.43.202: Permission denied (publickey).

上面的banner中就给出了一个用户名b.taylor，而下面的那个报错表示目标ssh只允许通过公钥的方式进行登录，而不能通过用户名密码的方式登录，这通常是因为sshd_config中有以下配置项：

PasswordAuthentication no  # 禁用密码登录

到目前来看思路已经很明确了，ssh不能登录，但给了一个用户名，而目标恰好开放了一个telnet服务，所以接下来的思路就是利用给的用户爆破23号端口

这里我跑了好几次，把线程调到1才跑出来了，跑出来后telnet上去，然后在家目录中就可以拿到userflag了

userflag：edc9f5c55af87505033a20dd41931364

获取rootFlag

通过id可以看到b.taylor还属于shadow组，那么去看以下/etc/shadow的权限

可以看到shadow组的成员是可写的，所以这里就可以直接将/etc/shadow中root用户的密码hash干掉，然后就可以无密码登录root了，之后在/root下拿到rootflag

rootflag：235aa90b688b711a87d5d15c6e34dada