目录
6. 攻击路径总结
靶机下载地址:https://www.vulnhub.com/entry/digitalworldlocal-joy,298/
1.侦查
1.1 获取目标网络信息:IP地址
靶机没有提供IP地址,不过攻击机和靶机在同一个C段,可以扫描ARP协议获取
1.2 主动扫描:扫描IP地址块
扫描TCP协议的全端口,发现21/ftp和22/ssh等服务
扫描UDP协议最常见的20个端口,发现161/snmp等服务
1.3 收集受害者主机信息:软件
通过SNMP进行信息收集,可以看到进程、网卡、软件、snmp、系统、网络等信息。在不知名端口36969上,可以看到UDP协议运行了TFTP服务,挂载目录是/home/patrick
2. 数据窃取
2.1 通过备用协议窃取:通过未加密的非C2协议窃取
先查看21/ftp服务,发现不少文件,全部下载到本地
逐个查看文件内容,其中directory文件竟是/home/patrick目录的ls -l结果
2.2 通过备用协议窃取:通过未加密的非C2协议窃取
再查看36969/tftp服务,竟然没有ls命令。还好已经拿到了/home/patrick目录的ls -l结果,将感兴趣的文件逐个下载到本地
在version_control文件中,可以看到提供21/ftp服务的软件是1.3.5版本的ProFTPd,以及Web根目录的路径。
3. 初始访问
3.1 利用面向公众的应用
ProFTPD 1.3.5中的mod_copy模块允许site cpfr和site cpto命令读取和写入任意文件,若ProFTPD由root用户启动,就可以写入/etc/passwd或webshell获得服务器权限
这里找到一个写入webshell的脚本,成功写入webshell
构造反弹shell,获得ww-data用户权限
4. 凭据访问
4.1 不安全的凭据:文件中的凭据
在服务器中进行信息收集,拿到一份密码本,内含patrick用户的密码
成功su切换到patrick用户
5. 权限提升
5.1 滥用特权控制机制:Sudo和Sudo缓存
patrick用户能以root用户的权限执行/home/patrick/script/test脚本
patrick用户无法查看该脚本的内容,那就直接以root权限执行吧
该脚本的功能是修改文件权限,根据提示,将/etc/passwd的权限改成777
现在有权限往/etc/passwd文件写入特权用户了,最后成功获得root用户权限
cat the flag
6. 攻击路径总结
原文始发于微信公众号(OneMoreThink):攻防靶场(28):通过SNMP进行信息收集 JOY
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论