Skynet
以终结者为主题的Linux计算机。
nmap扫描端口看开启了哪些服务
nmap -sV 10.10.156.126 -p-
Linux系统,开启 22ssh,80web,110pop3邮件服务,445smb服务
先从web入手,进来就是一个搜索框。输入了单引号,尖括号测试了一些没有反应
右键查看源码好像是个坑,接着扫用dirbuster扫目录
dirbuster扫出的目录都是403。看样子突破口不在Web方面,
去其它端口寻求突破,用dirb+dirbuster接着扫目录
用Nmap的脚本枚举共享
smb-enum-shares.nse (检索共享文件)
smb-enum-users.nse (枚举用户)
nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse 10.10.156.126
用enum4linux也可以枚举出来
enum4linux 10.10.145.90 //不指定参数使用默认的值就行
用smbclient访问SMB
smbclient //10.10.156.126/anonymous
用mget命令把文件下载到本地查看
最近的一次系统故障导致各种密码被更改。
所有天网的员工都被要求在看到这个后修改他们的密码。
-英里戴森
这个Miles Dyson应该是个管理员记着可能有用
log1.txt文件应该是他们的密码
dirb扫了半天有结果了。是个邮箱服务
尝试登录邮箱
用BurpSuite intruder模块把收集到的可能是管理员的信息MilesDyson,密码log1.txt字典进行爆破
出结果了,账号:milesdyson 密码:cyborg007haloterminator
浏览邮件,有个skynet发来Samba Password reset 共享文件密码重置
milesdyson用户的密码被重置成:)s{A&2Z=F^n_E.B`
用smbclient 访问milesdyson的共享
smbclient //10.10.145.90/milesdyson -U milesdyson
密码:)s{A&2Z=F^n_E.B`
notes目录下有个importent.txt 重要文件。
里面说明CMS增加了一个测试目录/45kra24zxs28v3yd(好吧,我们又回到了Web)
页面介绍了戴森博士
接着用dirb扫这个'隐藏'目录扫出个administrator
是个cuppa CMS登录页面
跑了一波口令也没有进去
用exploit-db搜索到了cuppa CMS有个远程文件包含漏洞
读取etc/passwd文件
包含passwd文件成功
本地用python搭个服务器生成一个反向的shell
修改$ip,$port
用python搭建一个网站,后面没有指定端口,默认8000
python3 -m http.server
浏览器远程包含生成的shell.php
nc监听6633端口,成功反弹shell
用python生成一个交互式的TTY
python -c 'import pty; pty.spawn("/bin/bash")'
查看milesdyson的user flag (生成的交互式TTY显示有点问题,但不影响执行)