爱快貌似没给shell权限,不如我们尝试获取一下?
这里记录了探索方法的过程,如需结果请直接跳至尝试4
1 | wget -qO ikuai.iso https://www.ikuai8.com/download.php?n=/3.x/iso/iKuai8_x32_3.4.5_Build202011091521.iso |
得到以下文件
1 | mount tmp/boot/rootfs rootfs |
提示错误?看了一下发现没有分区
1 | binwalk tmp/boot/rootfs |
貌似看到了成功的曙光?
实际上这只是一个套娃 难道用错了镜像?用img试试
1 | wget -qO ikuai.img.gz https://www.ikuai8.com/download.php?n=/3.x/img/iKuai8_x32_3.4.5_Build202011091521.img.gz |
貌似有戏?挂载一下试试
好吧还是个套娃
感觉好像是漏了点什么?是不是grub没有看
爱快是基于openwrt没得跑了,但是感觉好像开错了镜像,算了直接开台虚拟机试试
是不是感觉有点思路了?是的没错,这次要用救援模式进入爱快
果然是个linux都可以强行进入shell 然后就可以开始你的探索之旅了,这边我发现了两处有意思的地方
没想到居然还放了一个隐藏入口,输入自定义的字符之后可以进入shell或者切换成ap 倒数第二个md5的是密码1的md5,我已经算出来了是whoami,另外两个感觉不是很好算的样子,我直接放弃了
虽然在虚拟机里获取到了shell,但是没有sftp和ssh感觉非常的难受
思考良久,发现爱快的系统是释放到内存中的,所以要不直接dump内存? 首先将爱快安装到虚拟机中,google一下很多教程,我就不再过多做演示了
(注意:建议安装在非lvm卷轴中,这样方便移动内存快照文件) 打个快照先,注意勾选<包括内存>
我选择的储存格式为目录,所以内存的快照文件在设置的目录下可以找到,命名格式一般为vm-<虚拟机ID>-state-<快照名>.raw
将其拖回kali,再次试试binwalk
貌似快要成功了,但是,我这边说了但是
想不到吧!才dump一会就产生了22G的的数据文件,这方法诚然不太可以
又想了好一会,貌似可以直接修改内存的数据而不用全部dump出来,貌似是个好办法? 将其拖回本地之后,用UE看看hex,找找
结果你猜怎么着,找着了,替换之
然后拖回pve,回滚快照
然后回到控制台,输入一次whoami后再输入你替换的md5的原文,不出意外应该会显示出如下界面
此时可以在web中把ssh开开,使用ssh登录上去,故技重施
接下来按照正常shell操作即可,sshd具有同等与root的权限
注意要使用sftp需将/etc/passwd中的/etc/setup/rc修改为/bin/sh或者/bin/ash
#注意,此章将不会再提供明显的便民服务
拿到shell之后首先就是尝试一下挂载root到别的地方
但是发现/dev下居然没有这个设备
随后又突然记起来了爱快系统是放置在内存中的,一个一个尝试挂载/dev下的ram就行了
很幸运,第零个就是我们要的系统 直接dd成img,再拖回本地看看
7z打开,发现正是我们要的文件,但是貌似文件太大了,该想想怎么缩小体积
挂载成功!直接打包即可完成提取!
注意由于爱快系统是存在于内存中的,即为断电重置系统,但是可以使用快照的方式回滚