废物的靶场日记 hackthebox-lame+brainfuck
之前都是做active的机器 为什么突然开始做简单的退役靶机了呢
因为打算过段时间去考个oscp 看到了一份htb上应该做的清单 就先一个个做下去吧
Lame
easy难度 靶机IP 10.10.10.3
nmap -sV -A -Pn 10.10.10.3 好像是不能ping的 加个-Pn
21/tcp open ftp vsftpd 2.3.4
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
连个80都没有 那只能从端口服务入手了
searchsploit vsftpd 2.3.4找到了 但是这里的exp用不了 网上随便找了一个也不行 难道是唬人的?
换一个端口服务searchsploit samba 3.0.20 但是找到的exp都要用msf oscp是只能用一次msf的
于是github搜到了一个用nc的exp 连进去直接就是root权限把flag全拿了…
我是脑残吗 我做这种靶场干什么 这台机器应该为他新加个低能难度
08f08483cb99c20191e6622d8c3e6948
0d155475f37ba1502c95f306ac580ac6
Brainfuck
oscp系列第二台 insane难度的brainfuck 靶机ip 10.10.10.17
nmap -sV -A 10.10.10.17
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
25/tcp open smtp Postfix smtpd
110/tcp open pop3 Dovecot pop3d
143/tcp open imap Dovecot imapd
443/tcp open ssl/http nginx 1.10.0 (Ubuntu)
| Subject Alternative Name: DNS:www.brainfuck.htb, DNS:sup3rs3cr3t.brainfuck.htb
把这两个域名加进hosts
再访问进去发现是个wordpress site
wpscan --url https://brainfuck.htb/ --disable-tls-checks开扫
扫出来WordPress version 4.7.3 wp-support-plus-responsive-ticket-system Version: 7.1.3
searchsploit wp support 7.1.3找到exp WordPress Plugin WP Support Plus Responsiv | php/webapps/41006.txt
复制粘贴就完事了 进入后台
这里省略若干步骤 因为我做的时候实在是太卡了 压根没心情记录
最后反正是一系列操作拿到了用户名orestis和ssh的私钥 但是私钥文件有密码 拿john解密
/usr/share/john/ssh2john.py id_rsa > b.txt
john --wordlist=rockyou.txt b.txt 得到 3poulakia! (id_rsa)
以此ssh连上拿到user的flag
2c11cfbc5b959f73ac15a3310bd097c9
提权这种老机子直接看suid find / -perm -u=s -type f 2>/dev/null
看到/usr/bin/pkexec 再试着make了一下是存在命令的 不像上次那台连gcc都没有
那就直接用cve-2021-4034拿下root 打完
6efc1a5dbb8904751ce6566a305bb8ef
这台有一说一顶多就是medium难度 话说是不是退役的机器网络环境差一点 中间做的心态都要崩了