终于放假了。。。。

Os-Bytes

信息搜集

80端口开着,ssh端口被改到了2525。

dirb扫描没啥发现

网页的gallery目录列出目录下文件,尝试目录穿越失败

news栏目只有张图

百度一波,得知是一种蓝牙攻击,可以通过攻击造成Windows远程桌面服务的远程代码执行,嗯。。。然而这是linux

网页底部存在可能是提示信息

前面已经扫到目标主机开放了两个Samba端口,首先了解一下Samba

服务器消息块(SMB)协议是一种网络文件共享协议,在Microsoft Windows中实现称为Microsoft SMB协议。SMB允许您共享文件,磁盘,目录,打印机等
从Windows 2000及更高版本开始,SMB可以使用端口445在TCP / IP上运行,而无需运行NetBIOS会话。由于SMB提供了多种功能,例如操作文件,共享,消息传递,IPC等,它在内网枚举和内网探索阶段是对黑客最有吸引力的服务之一。

百度得知相应协议

Samba攻击

搜索相关攻击信息

MSF应当是集成了一些payload,试一下

嗯。。。。全失败。。回到百度点开第一个连接,条件挺像的,跟着试下,SMBSHARE这里需要一个可写的目录,保险设置为tmp

仍然失败。。。

接着百度,得知我们可以用smbclient访问

但这里root密码以及用户都不知道

尝试爆破用户名密码,一番无果最后却发现是任意用户无密码登录。。。

但是没有权限读取共享目录

enum4linux枚举smb用户

看wp学到了使用enum4linux枚举smb用户

1
enum4linux 192.168.3.105

这条命令会自动收集收集目标系统的大量信息,如用户名列表、主机列表、共享列表、密码策略信息、工作组和成员信息、主机信息、打印机信息等等

得知有三个用户sagar,blackjax,smb

挨个尝试看哪个可以读取共享目录

得知smb用户具有查看权限

读取共享文件

smbclient登录

挨个目录看,啥都没有。。。

陷入僵局。。。再次偷瞄wp,得知还有个smb的隐藏目录(可能是通过上图中.和..的猜测?)

登录成功,目录下存在两个文件

下载两个文件查看,其中一个zip需要密码

john爆破

解压得到图片和数据包

wireshark打开,都是802.11的包,也就是无线局域网

看看有没啥信息

广播信息里包含了WLAN的名称:blackjax,嗯,和刚才得到的用户名中的一个一致

爆破匹配wlan密码

利用aircrack-ng工具,可以对wlan数据包进行密码匹配

那么现在已知wlan名称:blackjax 密码:snowflake

尝试ssh连接

成功登录并得到第一个flag

提权

查看root权限文件

ping命令好像可以提权

无奈第三步就死了

注意到还有个netscan,显示的是端口使用情况等信息

追踪命令执行过程

发现其实就是system执行了netstat命令,这种情况在之前的练习已经写到过,可以做劫持

system执行的是netstat,netstat是在/bin目录下,system读取的其实就是env中的PATH,因此我们只要将PATH修改成我们的路径,再构造相应的文件名和命令,就可以实现恶意劫持

构造文件

1
2
3
4
5
$ cd /tmp   
$ touch netstat;echo '/bin/bash/' >> netstat
$ cat netstat
/bin/bash/
$ chmod 755 netstat

修改环境变量使得指向/tmp

执行

光速打脸,好吧没有bash,仔细看下之后sh,那么改下就成

成功提权,得到第二个flag,完成