1.对目标主机进行端口嗅探。
2. 简单尝试使用弱口令登录ssh,登录失败。
3. 尝试445端口常见漏洞
3.1 ms17010攻击失败。
3.2 查看文件共享情况,没有访问权限。
4. 访问web,进一步渗透。
4.1访问web界面。
4.2尝试目录爆破。
4.3访问back目录。
4.4访问password.txt与user.txt。
4.5尝试登陆后台,登陆失败。
4.6查看页面源代码,发现login.js,打开该js文件。
4.7根据代码的逻辑,存在success.html页面,访问该页面。
4.8解码该数据,并访问对应页面。
4.9将返回的base64编码写入文件并解码,发现解码出来的是一个压缩文件。
4.10 压缩文件带有密码,使用john破解密码,破解出来的密码为password。
4.11打开压缩包,发现文件存储的信息为16进制信息,将其导入文件编码并base64解码。将解码后的数据解密,得到字符串信息。
4.12尝试使用此密码登陆,登陆失败,进一步寻找web的其它后台界面。
4.13 使用上面爆破的密码登陆成功。
4.14在kali中寻找playsms的漏洞并利用,获取web用户权限。
5. 主机提权。
5.1 为了使用方便,我们上传个php木马,获取一个好操作的shell。
5.2使用Linenum工具检查系统存在的提权漏洞,发现一个具有SUID权限的可执行文件,并且存在缓冲区溢出漏洞。同时目标系统关闭了ALSR,故我们可以将程序下载到本地来调试。
5.3使用gdb调试目标程序
5.4 由调试可知,溢出点的值可以直接改变EIP寄存器的值,即我们可以利用EIP寄存器来执行系统函数。我们的思路是执行system函数来执行/bin/sh程序来创建一个root权限的shell。由于溢出攻击,程序原本的栈结构被破坏,故最后调用exit函数来正常退出。
5.5最后我们只需将函数的地址拼接到溢出点后即可,基于此,我们编写exp,并在靶机上运行,获取root权限。
原文始发于微信公众号(Matrix1024):HTB靶场之frolic通关攻略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论