Fowsniff靶机
靶机地址:https://www.vulnhub.com/entry/fowsniff-1,262/
信息收集
- 通过
nmap
扫描,靶机开放22 80 110 143
端口,110
是pop3
邮件服务器,全扫描查看一下服务版本等信息
- 使用目录扫描得到了几个目录
web渗透
- 访问
robots.txt
和security.txt
文件,但都没有有用的信息
- 查看了一下主页,将主页内容翻译一下发现攻击者把该网站给攻破了,而且还在一个推特账号上公布了一些该网站用户的一些敏感信息,直接去推特上找一找这个账号,挂个梯子
- 在该账户的最后一条发现了端倪,点击去一看里面有一个保存密码的网站,访问之后得到了几个用户和加密的密码
密码碰撞
- 将上面信息保存到文件中,使用
shell
编程的awk
命令将账号和密码分别保存到文件中
- 使用
john
工具对加密的密码进行破译,看这样子应该就是md5
加密,使用md5
解密模块,使用弱口令密码本进行爆破
- 得到了密码和账号,直接去尝试爆破
ssh
登录,但是没有成功的,但想起来还开放了邮件服务器端口110
pop3
服务,使用hydra
爆破邮件服务器的账号密码,成功得到一个账密
POP3邮件服务器渗透
- 使用
nc
命令连接到靶机的110
端口,也就是连接到靶机的pop3
邮件服务器。由于对POP3了解太少,不知道怎么用交互界面,直接上网搜索POP3
的命令,根据对命令的解释,使用刚才USER
和PASS
指定爆破的账密进行登录,logged in
证明成功登录,使用STAT
查看发现有两个邮件
- 使用
RETR
指定查看第几个邮件,先将两个邮件内容进行显示查看
- 读一读邮件内容,其中第一个邮件内容就已经暴露了想要的内容,这里直接给出了临时的
ssh
登录密码
获取权限
- 看邮件的几个发消息和接收消息的人也都在之前的账户字典中,修改一下密码字典,将临时密码加入,使用美杜莎进行
ssh
爆破登录,成功拿下账号和密码
- 使用账密进行
ssh
登录,成功获取权限,记住这个登录界面,一会要考的
权限提升
- 获取了
shell
,在当前用户下有一段话,没多大关系。查看一下sudo
和suid
权限也都没有可以利用的
- 查看一下当前用户可写权限的文件,发现第一个文件很突兀,是一个
sh
脚本文件,而且目录也有很大不同
- 查看一下脚本内容,我的乖乖竟然如此眼熟,毕竟这样的
loge
在ssh
登录成功的时候就见到了,还是有点印象,比对了一下发现确实一模一样。那就可以这样猜想了,该文件会在ssh
登录成功的时候自动执行,所以只要给这个文件写入反弹shell
的命令,登录成功后就能得到root
的shell
,因为该文件所属是root
- 这里文件写入应该什么命令都可以,只需要能执行反弹
shell
即可,直接写入系统命令获得反弹shell
,调用php
执行php
代码的反弹shell
,调用python
执行python
代码的反弹shell
。这里使用最后一个,网上找的paylaod
,修改ip
和端口号即可
- 本地进行监听,再次登录
ssh
,发现ssh
卡住没有弹出任何内容,证明命令成功执行,监听界面已经弹出来root
的shell
了
- 直接去到
root
目录下查看flag
文件,拿下靶机
靶机总结
- 本次靶机的难度还可以,关键点集中在了信息收集上,关注到了网页的内容,了解到推特账户存在敏感信息泄露这个靶机也就可以说拿下一半了
- 本次学习到了POP3邮件服务器的利用,因为之前很少碰到,所以对其知之甚少,这次的渗透过程了解到了如何进行POP3服务器的利用,账密登录,查看邮件等
- 得到账密字典第一想法肯定是爆破
ssh
登录,失败之后要想到其他的存在登录或使用账密的地方,这次就是POP3邮件服务器,后面可能还会有其他服务器,网站后台等 - 本次提权还挺有意思,没想到
ssh
登录成功回显内容的脚本会被利用到。查看可写权限的文件一看内容怪眼熟的,写入反弹shell
的命令再次登录即可触发脚本里的命令