VulnHub渗透实战--Bytesec

最新推荐文章于 2023-07-15 23:59:28 发布
最新推荐文章于 2023-07-15 23:59:28 发布
阅读量715 收藏 1
点赞数 1
分类专栏: CTF实践 文章标签: linux 安全 zip 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/104292901
版权

Bytesec

0X01 Main Point

1.基于SMB的爆破工具accacheck
2. 用于枚举Windows和Samba主机中的数据工具enum4linux
3. smbmap枚举靶机的共享资源
4. 无线数据包破解工具aircrack-ng的使用
5. PATH环境变量提权
6. fcrackzip暴力破解zip密码

0X02 前期嗅探和端口探测

arp-scan -l #扫描得到靶机IP

在这里插入图片描述

nmap -sV -A -p- 192.169.0.6 #扫描靶机开放端口

在这里插入图片描述
看到smb,第一想到的就是永恒之蓝了吧,Windows的MS-17-010大家都不陌生了,但这是Ubuntu的系统,一时之间不知道如何利用,先放一边,从80端口入手:

整个页面没有任何实质东西可以利用,但是注意:
在这里插入图片描述
提示 GET smb free。 =>猜想有一个smb账号,且是空密码

但是ssh连接发现不对劲,先dirb扫目录,在这里插入图片描述
发现几个200的目录都没什么用。。。

转向Samba:

Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。

使用enum4linux查询靶机的用户信息:
在这里插入图片描述
果然查到了smb用户,这里推测就是空密码连接,当然不放心可以直接利用acccheck工具进行爆破

Acccheck是一款针对微软的SMB协议的探测工具(字典破解用户名和密码)
https://github.com/qashqao/acccheck.git
命令格式:

acccheck [-t{IP}|-T{FILE}][-p,-P,-u,-U,-v]

 #以下两个选项必须使用一个来确定目标
       -t                  #使用单个ip地址目标
       -T                  #使用包含多个ip地址的文件
       #常用选项
       -p                  #单个密码
       -P                  #密码字典文件
       -u                  #单个用户名
       -U                  #用户字典文件
       -v                  #输出详细破解内容

在这里插入图片描述
smb用户使用的空密码,我们先使用smbmap探测共享资源名称及权限:
在这里插入图片描述
发现print$目录是可读的,可以直接smbclient查看print$目录,这里本来想使用smbmap -x参数来执行bash,但是:
在这里插入图片描述
smbclient查看print$目录在这里插入图片描述
发现都是空目录,无语。。发现..设备,猜测可能是指向了该用户的/home/smb的目录,重新连接:
在这里插入图片描述
果然,直接get,将两个文件下载下来之后,发现需要密码在这里插入图片描述
这里使用fcrackzip来进行爆破,字典可以用kali自带的/usr/share/wordlists/rockyou.txt

fcrack -D -p /usr/share/wordlists/rockyou.txt -u safe.zip #-u指定zip格式

在这里插入图片描述
打开zip后发现有一个user.cap的数据包,wireshark打开后发现是无线数据包,在这里插入图片描述
之前看破解wifi密码时就有看到aircrack-ng这个工具,同样是kali自带的,我们使用它来破解无线数据包密码,wifi用户名可以看到是blackjax:

aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap #-w指定字典路径

在这里插入图片描述
有用户名,有密码,开放了ssh端口(2525),我们直接ssh连接:在这里插入图片描述得到user.txt,即第一个flag标志。

提权

查看内核发现是ubuntu 16.04,并且是4.4.0-142-generic的终端,没有发现这个版本的终端有可以利用内核提权的脚本,那先查看SUID位的文件吧。

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述
运行这个可执行程序发现:
在这里插入图片描述
是不是类似使用了netstat命令,在Windows下使用这个命令:
在这里插入图片描述
那么什么叫环境变量提权呢?

有些应用程序使用了system等函数调用了系统命令,但是没有使用绝对路径而是使用env命令从环境变量中进行查找,这就可能通过修改环境变量来进行权限提升,而PATH是Linux和类Unix操作系统中的环境变量,它指定可执行程序的所有bin和sbin存储目录。当用户在终端上运行任何命令时,它会向shell发送请求以在PATH变量中搜索可执行文件来响应用户执行的命令。超级用户通常还可以使用/sbin和/usr/sbin以便于执行系统管理的命令。

当然我们怎么会知道netscan这个可执行程序到底是不是使用了system()函数中的netstat并且使用的env命令来从环境变量中进行查找呢?
在这里插入图片描述
可以看到的确执行了系统命令netstat,那我们可以尝试修改环境变量提权:

cd /tmp #只有/tmp目录下可写
echo "/bin/sh" > netstat #将/bin/sh写入netstat
chmod +x netstat #赋予可执行权限给netstat
echo $PATH #查看当前环境变量
export PATH=/tmp:$PATH

该环境变量提权的思路就是:
重新设置环境变量在/tmp目录下,则我们在使用/usr/bin/netscan时使用的系统命令会定位到/tmp路径下的netstat可执行程序,而内容已被我们篡改,因为netscan是SUID权限,即运行时有root权限,所以我们借这个SUID位执行我们设置的netstat,即我们以root身份打开了一个/bin/sh,成功提权。

参考:https://www.anquanke.com/post/id/146799

在这里插入图片描述
成功得到root.txt,即第二个flag标志

注:zip爆破还能使用john,但是需要先获得中间Hash文件,再用john爆破hash

zip2john safe.zip > force #获取hash文件
john force -w /usr/share/wordlists/rockyou.txt 对这个hash文件使用john爆破
Crispr-bupt
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VulnHub—Os-Bytesec
weixin_39219503的博客
01-05 760
01 环境搭建 靶机环境下载:https://www.vulnhub.com/entry/hacknos-os-bytesec,393/ 题目信息如下,难度中等,需要获取俩个flag Difficulty : Intermediate Flag : 2 Flag first user And second root Learning : exploit | SMB | Enumration...
靶场提权记录
小锤队长的博客
10-30 732
目录 1,下载 靶场的 /etc/passwd 文件 和 /etc/shadow 文件 并破解 2, 利用 C语言程序溢出漏洞进行提权(前提是 程序中具有 代码执行函数 execve()) 3,在本地登录 ssh 实现提权 4,使用 perl命令提权 5,利用 ubuntu 4.4.0内核 溢出 提权 1,下载 靶场的 /etc/passwd 文件 和 /etc/shadow...
重要预警 | Ubuntu 16.04 4.4 系列内核本地提权漏洞
weixin_33727510的博客
03-19 234
2018年3月16日,阿里云云盾应急响应中心监测到国外安全研究人员公开Ubuntu 16.04版本存在高危本地提权漏洞,恶意攻击者可以利用此漏洞来进行本地提权操作。 经分析,阿里云云平台自身不受此漏洞影响。阿里云安全应急响应中心建议:尽快开展自查工作并根据厂商更新情况及时更新补丁,以避免攻击者利用该漏洞发动提权攻击。目前,阿里云已发布官方公告,并...
Linux脏牛漏洞提权复现
热门推荐
wangyuxiang946的博客
07-22 1万+
操作系统: Linux ( CentOS 6.5)Web服务: PHP+Apache
vulstrack——第三周
qq_45920291的博客
11-24 411
外网信息收集 http://10.203.87.242 CMS:Joomla 语言:PHP web服务器:nginx 1.9.4 端口信息: 22端口开放 应该可以SSH登录 敏感目录扫描: [16:57:11] 403 - 278B - /.htaccess.bak1 [16:57:11] 403 - 278B - /.htaccess.orig [16:57:11] 403 - 278B - /.htaccess.sample [16:57:11] 403 - 278B - /.hta
Vulnhub靶机渗透之环境搭建及JIS-CTF入门
qq_61702710的博客
07-15 2396
写道这里,这篇文章讲解完毕,后续会更深入的分享。netdiscover 用于发现目标ipnmap进行端口扫描dirb进行目录扫描敏感文件获取及分析php木马生成和蚁剑工具ssh远程连接sudo提权数据库脱裤相关内容整理于网上,侵权删。
DAY29(DAY30拓展):Vulnhub--靶机实战
qq_49433473的博客
08-12 2161
Vulnhub DC-1、DC-2靶机通关手册
靶机hackNos Os-Bytesec练习报告1
08-08
id=1yBuih2CsBx45oTUDpFr4JldrzkaOTTeZ https://download.vulnhub.com/hacknos/Os-Byt
Vulnhub靶机: DarkHole
sszsNo1的博客
07-02 168
Vulnhub靶机: DarkHole如何打靶
[ vulnhub靶机通关篇 ] vulnhub靶机环境搭建教程并寻找真实IP -- 以DC1为例
qq_51577576的博客
04-09 1369
[ vulnhub靶机通关篇 ] vulnhub靶机环境搭建教程并寻找真实IP -- 以DC1为例
看完这篇 教你玩转渗透测试靶机vulnhub—Corrosion:2
Aluxian_的博客
06-26 1178
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。这是一个漏洞靶机,老样子需要找到flag即可。Medium这个靶机难度中偏上 因为比较麻烦1.信息收集获取ip地址 和端口信息web等 查看F12源码信息2.文件包含漏洞,包含日志文件ssh写入木马ssh ''@靶机(新知识点!3.nc反弹shell(这里要使用url编码)zip2john爆破和fcrackzip
ros indigo版 虚拟机压缩包 (ubuntu 4.4.0-142-generic 的)
03-26
文件较大,使用云盘。附件中有链接和简单说明。 这是 ubuntu 4.4.0-142-generic 下的ros indigo 版本的压缩包。已经配置完成,可直接使用
【渗透测试】VulnHub-GoldenEye-1
m0_52923241的博客
10-22 357
VulnHub-GoldenEye-1VulnHub-GoldenEye-1 详细阶梯步骤知识点总结kali自带字典目录vim文本编辑器linux通过修改/etc/hosts文件 添加IP地址与域名的映射Moodle(CVE-2013-3630)在linux下如何本地开启端口常用工具篇POP3:电子邮件协议Hydra:暴力破解工具Netcat:网络测试工具burpsuite-Decoder:编码解码工具SearchSploit漏洞查找工具查看jpg文件底层内容工具 VulnHub-GoldenEye-1 详
CVE-2016-5195:Linux内核通杀提权漏洞预警
大方子
10-06 1188
Linux内核(英语:Linux kernel),是一种计算机操作系统内核,以C语言和汇编语言写成,匹配POSIX标准,以GNU通用公共许可证发布。 ——来自于维基百科 漏洞危害: 低权限用户可以利用该漏洞修改只读内存,进而执行任意代码获取 root 权限。 影响范围: 该漏洞影响所有 Linux Kernel >= 2.6.22的版本。 2.6.22 是 2007 年发...
记一次域渗透靶场学习过程(全程干货)
MachineGunJoe666
05-25 1126
VulnStack7是红日安全团队最近的一个ATT&CK靶场,为一个三层靶场,靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 整体拓扑如下。 配置过程这里不再赘述,因为本人主机为linux主机,由于路径问题,导致dmz区域的机器无法正常运行,于是直接砍掉,反正网站为二层的docker环境内,不影响总体操作。且为了增加难度,在PC1和PC2安装了某安全软件,于是拓扑变成了下面这样: 记得开启相关服务,在各个机器上。..
vulnhub靶机——RAVEN: 2
qq_44029310的博客
09-12 2052
本文涉及知识点有:靶机环境搭建,dirsearch工具使用,DS_Store信息泄露漏洞,wpscan使用,利用PHPMailer命令执行漏洞获取shell,UDF提权
新版本Ubuntu本地提权漏洞复现
andiao1218的博客
03-17 473
该漏洞在老版本中被修复了,但新的版本还存在漏洞 影响范围:Linux Kernel Version 4.14-4.4,Ubuntu/Debian发行版本 Exp下载地址:http://cyseclabs.com/exploits/upstream44.c 测试环境 sch01ar@ubuntu:~$ uname -a Linux ubuntu 4.4.0-87-generi...
Linux】——Ubuntu提权(待解决)
给你一半糖
12-31 2280
最近一直在因为项目的需要,需要安装Linux系统,因为自己之前从来没有接触过这方面的内容,从零开始遇到了很多让我自己措手不及的问题,其实关于这个问题现在也还没有解决。     关于如何在Ubuntu提权,按照百度经验上的方法,因为我本身为了省事,选择了永久提权。    第一步:输入sudo gedit /etc/passwd       第二步:将当前用户之后1000:1000两个均改
vulnhub Monitoring: 1
箭雨镜屋
07-18 1027
渗透思路:nmap扫描 ---- 默认用户名+弱密码登录Nagios XI ---- 利用Nagios XI 5.6.5的RCE漏洞获得root的shell
windows压缩包爆破
最新发布
08-13
- *2* [【甄选靶场】Vulnhub百个项目渗透——项目四十八:HACKNOS:OS-BYTESEC(压缩包爆破,无线爆破,环境变量...](https://blog.csdn.net/weixin_65527369/article/details/127443994)[target="_blank" data-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值