Vulnhub靶机OS-ByteSec详解
攻击机Kali IP:192.168.1.110
靶机Os-ByteSec IP:未知 系统:未知
A.扫描靶机存活性 确定IP地址
1.命令:arp-scan -l
B.扫描靶机开放端口及其服务版本信息
1.命令:nmap -A -p- -sV 192.168.1.110
2.靶机的80端口由apache搭建,139和445端口是smb服务,且版本在3.x-4.x之间,这个版本是存在smb远程shell命令行注入的[CVE-2007-2447],ssh端口更改为2525
3.咱们先上网站看看有无可用信息
不知道是不是还在提示我们,存在smb漏洞
C.SMB渗透
1.直接上老朋友MSFCONSOLE,搜索编号cve-2007-2447,或者直接搜索samba,找到usermap_script
2.很显然失败了,但是咱们还有工具enum4linux 简单做个介绍:
可以看到这边有三个用户,sagar,blackjax,smb,至于密码…
3.尝试尝试弱口令
功夫不负有心人,很侥幸的让我猜到了密码是” ” 对,就是空密码,咱们把这两个文件都下载下来,看看到底怎么个事
使用命令get 文件名1 文件名2
这里由于写文章之前我下载过压缩包,有点冲突,我把它重新下载到/tmp目录下
这作者真有一手,又给压缩包加密了,咱们再一次掏出大宝贝开膛手杰克:zip2john以及john
使用命令:zip2john 加密的压缩包 > pass && john pass
我这里是因为之前破解过了,所以使用命令 john --show pass
第二位就是压缩包密码:hacker1
使用命令:unzip safe.zip
得到一个图片,一个流量包
给老铁们看看图片,暂时没什么用
4.看看流量包
使用命令:wireshark user.cap
这显然是个无线数据包,继续掏工具 aircrack-ng,一款用于无线网络渗透的神器
使用命令:aircrack-ng -w 字典 user.cap 这里就用rockyou,kali自带的,省事方便
5.得到一个wifi用户blcak,以及wifi密码snowflake,这里就要脑洞大开了,让我们把时间退回到刚开始扫描端口,有一个ssh服务端口为2525,有点像”撞库”,这个wifi用户和密码或许可以利用ssh获取shell
成功获取第一个flag,并且提示我们GO TO Root
我们的文章到这才刚刚进入重点,请继续往下看
D.提权
1.进行一些常规的提权姿势
Sudo失败
这有个很可疑的可执行文件,我们调用这个命令试试
????,其实做到这的时候,我已经觉得有戏了,下面是我在kali上的演示,这两张图是不是神似,没错靶机上的/usr/bin/netscan 就是使用了netstat -antp命令
如有疑问,可以用scp把netscan远程复制到自己的攻击机上,然后再用strace命令去看看这个netscan到底做了什么,我的kali没装strace就不演示了,结果一定是netstat -antp
2.咱们继续,这里又要用到一种提权姿势PATH提权
PATH是Linux和类Unix操作系统中的环境变量,它指定可执行程序的所有bin和sbin存储目录。当用户在终端上运行任何命令时,它会向shell发送请求以在PATH变量中搜索可执行文件来响应用户执行的命令。超级用户通常还可以使用/sbin和/usr/sbin以便于执行系统管理的命令。
3.我做个简单的演示
我在/tmp/test目录创建一个c语言文件,作用就是调用系统命令”ls”
接着用gcc编译文件到shell,给shell赋予u+s权限
这个时候我换一台设备,能够ssh登录到我的kali用户,紧接着下面的操作,这里使用的是大佬的文章利用 PATH 环境变量进行 Linux 提权-安全客 - 安全资讯平台 (anquanke.com)
4.回到靶机,举一反三
嗯,当是我也很诧异,可以再看看上面那篇大佬的文章
天下风云出我辈,一入江湖岁月催。
皇图霸业谈笑中,不胜人生一场醉。
好了,到这我们的文章真的结束了,有不懂的可以私信我
你们的点赞和关注是我更新的动力,让我们一起努力~~