免责声明
文章为作者学习记录,请勿利用文章相关技术从事非法活动,
如因此产生任何的不良后果与文章作者无关,本文仅供学习参考。
攻击机:VM kali-linux
1.信息收集
nmap:收集端口服务信息
1、nmap -p- 192.168.56.105
发现靶机开放了22,80端口
2、nmap -sC -sV -p 22,80 192.168.56.105 -oN nmap.log
2.WEB渗透
访问WEB
80端口返回一个静态页面,点击atlas看看
到这里我就懵逼了,扫目录,子域名都没扫出来,最后问了下大佬才茅塞顿开,这个地图上给了提示:MD5(5个x)
生成MD5字典
for i in $(cat /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dir.txt; done
去掉字典中多余的空格与-
目录扫描,发现文件,访问该文件,结果一片空白,查看发现是GET提交参数方式,于是进行模糊测试找出参数
模糊测试,找到参数为:purpose
则查看 passwd文件,发现root,freddie用户
尝试查看其他文件,发现一片空白,于是结合MD5字典对22端口进行爆破
3.爆破22端口
成功爆破22端口
hydra -l freddie -P dir.txt ssh://192.168.56.105
登录ssh,拿到第一个flag
ssh freddie@192.168.56.105
4.提权
查找有suid权限的文件,但发现没有啥可以利用的
find / -perm -u=s -type f 2>/dev/null
.......时间又过去了好久.......
用pspy64
看一下是否有定时任务,别问为什么,问就是大佬告诉我的(太菜了,没办法<!_!>)靶机上没有pspy64,scp上传pspy64即可
scp pspy64 freddie@192.168.56.105:/home/freddie
查看进程发现:/smbshare下的所有文件,每隔一分钟会被root执行一次。查看smbshare文件夹发现无权限,所以只能通过smb服务把反弹shell脚本写入smbshare文件下,通过定时任务来执行反弹shell脚本,因此查看端口号看smb服务是否开启
查看端口号,发现445端口打开,则初步判定smb服务打开
ss -tulpn
查看共享文件,发现grotesque共享文件
上传shell.sh脚本,写入共享文件,监听,等待靶机定时任务执行shell脚本,反弹shell成功,拿到root权限,拿到第二个flag,Game Over!