记一次dump爱快的过程

爱快貌似没给shell权限,不如我们尝试获取一下?
这里记录了探索方法的过程,如需结果请直接跳至尝试4

尝试1 - 直接挂载

wget -qO ikuai.iso https://www.ikuai8.com/download.php?n=/3.x/iso/iKuai8_x32_3.4.5_Build202011091521.iso
mkdir tmp&&7z x ikuai.iso -otmp

得到以下文件
pic1.png

mount tmp/boot/rootfs rootfs

提示错误?看了一下发现没有分区

pic2.png

尝试2 - binwalk

binwalk tmp/boot/rootfs

pic3.png

貌似看到了成功的曙光?

pic4.png

实际上这只是一个套娃
难道用错了镜像?用img试试

wget -qO ikuai.img.gz https://www.ikuai8.com/download.php?n=/3.x/img/iKuai8_x32_3.4.5_Build202011091521.img.gz
gzip -d ikuai.img.gz
binwalk -e ikuai.img

pic5.png

貌似有戏?挂载一下试试

pic6.png

好吧还是个套娃

尝试3 - grub

感觉好像是漏了点什么?是不是grub没有看

pic7.png

爱快是基于openwrt没得跑了,但是感觉好像开错了镜像,算了直接开台虚拟机试试

pic8.png

是不是感觉有点思路了?是的没错,这次要用救援模式进入爱快

pic9.png

果然是个linux都可以强行进入shell
然后就可以开始你的探索之旅了,这边我发现了两处有意思的地方

pic10.png

没想到居然还放了一个隐藏入口,输入自定义的字符之后可以进入shell或者切换成ap
倒数第二个md5的是密码1的md5,我已经算出来了是whoami,另外两个感觉不是很好算的样子,我直接放弃了

尝试4 - dump

虽然在虚拟机里获取到了shell,但是没有sftp和ssh感觉非常的难受
思考良久,发现爱快的系统是释放到内存中的,所以要不直接dump内存?
首先将爱快安装到虚拟机中,google一下很多教程,我就不再过多做演示了

pic11.png

(注意:建议安装在非lvm卷轴中,这样方便移动内存快照文件)
打个快照先,注意勾选<包括内存>

pic12.png

我选择的储存格式为目录,所以内存的快照文件在设置的目录下可以找到,命名格式一般为vm-<虚拟机ID>-state-<快照名>.raw

pic13.png

将其拖回kali,再次试试binwalk

pic14.png

pic15.png

貌似快要成功了,但是,我这边说了但是

pic16.png

想不到吧!才dump一会就产生了22G的的数据文件,这方法诚然不太可以
又想了好一会,貌似可以直接修改内存的数据而不用全部dump出来,貌似是个好办法?
将其拖回本地之后,用UE看看hex,找找

pic17.png

结果你猜怎么着,找着了,替换之

pic18.png

然后拖回pve,回滚快照

pic19.png

然后回到控制台,输入一次whoami后再输入你替换的md5的原文,不出意外应该会显示出如下界面

pic20.png

此时可以在web中把ssh开开,使用ssh登录上去,故技重施

pic21.png

接下来按照正常shell操作即可,sshd具有同等与root的权限

pic22.png

注意要使用sftp需将/etc/passwd中的/etc/setup/rc修改为/bin/sh或者/bin/ash

尝试5 - 提取

#注意,此章将不会再提供明显的便民服务
拿到shell之后首先就是尝试一下挂载root到别的地方
但是发现/dev下居然没有这个设备

pic23.png

随后又突然记起来了爱快系统是放置在内存中的,一个一个尝试挂载/dev下的ram就行了

pic24.png

很幸运,第零个就是我们要的系统
直接dd成img,再拖回本地看看

pic25.png
pic26.png

7z打开,发现正是我们要的文件,但是貌似文件太大了,该想想怎么缩小体积

pic27.png

挂载成功!直接打包即可完成提取!

pic28.png

注意由于爱快系统是存在于内存中的,即为断电重置系统,但是可以使用快照的方式回滚

点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注