1、扫描靶机的IP地址
2、扫描靶机开放的端口
开放的有web服务-80,139,445smb服务,2525ssh服务
3、访问web服务
对其进行目录扫描
我对其目录进行依次访问,但是并没有什么信息得到,因此我们需要将目标移动到smb服务
4、samba漏洞
我们可以在百度搜索smbd3.x-4.x有什么漏洞
Samba 中负责在 SAM 数据库更新用户口令的代码未经过滤便将用户输入传输给了
/bin/sh
如果在调用 smb.conf 中定义的外部脚本时,通过对 /bin/sh 的MS-RPC调用提交了恶意输入的话,就可能允许攻击者以 nobody 用户的权限执行任意命令。
搜索后,我们可以使用smbmap,enum4linux工具进行枚举smb服务的信息,kali自带有这些工具
- 首先使用smbmap工具
smbmap -h 进行查看如何使用
smbmap -H 192.168.0.105 -u guest 进行指定IP地址,查看匿名用户信息
smbclient //192.168.0.105/print 进行查看共享信息
我进行命令执行后,提示我们无法匿名用户登录
- 继续使用enum4linux工具进行使用
enum4linux -h 查看帮助
enum4linux -a -o ip 常用的命令,进行大范围信息收集
我们发现三个smb,blackjax,sagar,我们将重点防止smb,使用smbcilent进行隐藏目录访问
smbclient //192.168.31.184/smb -U smb #-U 指定用户登录
可以发现有一个压缩包和一个txt文件,我们使用get进行拷贝下来
发现数据包是一个加密的,因此我们使用fcrackzip进行破解
fcrackzip -D -p /zidian/rockyou.txt -u safe.zip
#-D -p 指定passwd文件 -u 指定压缩包
解压完成后,我们进行查看图片和数据包
- 首先发现数据包是一个无线wifi的协议包,因此我们需要密码
所以使用aircrack-ng进行破解网络
└─# aircrack-ng -w zidian/rockyou.txt user.cap
得到了用户和密码,因此我们尝试使用ssh登录
接下来就可以进行查找有用的信息
查找suid是否可以进行提权
发现有一个netscan命令,跟netstat命令相似
因此我们首先查找一下netscan路径
我们进行二进制查看
xxd /usr/bin/netscan
发现其有调用了netstat命令,因此我们可以进行临时目录进行提权
接下来就可以进行提权