freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次hackmyvm综合靶场的渗透测试-tron
  • 关注
记一次hackmyvm综合靶场的渗透测试-tron
2022-04-17 10:40:11
所属地 黑龙江省

前言

本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!

信息收集阶段

KALI攻击机:192.168.1.128

靶机:192.168.1.3

目标:root.txt和user.txt

nmap -A -p1-65535 192.168.1.3

1650162833_625b7c9188dbe63797f3d.png!small?1650162835116

开启了22端口和80端口:

http://192.168.1.3/

1650162842_625b7c9a04ea78963bf5d.png!small?1650162843403

查看源代码:源代码中有个tips:

1650162849_625b7ca1cef4020bbc257.png!small?1650162851149

像是用户名和密码:

kzhh:SbWP9q94ZtE9qD

接着目录扫描走一下:

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.3/ -x txt,html,php

1650162870_625b7cb671dd786ed72b7.png!small?1650162871885

漏洞利用阶段

http://192.168.1.3/img/

1650162876_625b7cbc9625ea84fae21.png!small?1650162877966

http://192.168.1.3/manual/en/index.html

有版本信息!

1650162882_625b7cc26b4b11c96fee4.png!small?1650162883759

http://192.168.1.3/robots.txt

内容像是目录!

1650162887_625b7cc76d5f4216f01dd.png!small?1650162888784

http://192.168.1.3/font/

1650162892_625b7ccc515335d589e2c.png!small?1650162893662

http://192.168.1.3/MCP/这个真的有信息!

1650162897_625b7cd14e8f8c03ba550.png!small?1650162898816

先看下tron.txt文件!

http://192.168.1.3/MCP/tron.txt

MASTER CONTROL PROGRAM

----------------------

Ram:

Do you believe in the Users?

你相信用户吗?


Crom:

Sure I do! If I didn't have a User, than who wrote me?

我当然知道!如果我没有用户,那是谁写的

KysrKysrKysrK1s+Kz4rKys+KysrKysrKz4rKysrKysrKysrPDw8PC1dPj4+PisrKysrKysrKysrKy4tLS0tLi0tLS0tLS0tLS0tLisrKysrKysrKysrKysrKysrKysrKysrKy4tLS0tLS0tLS0tLS0tLS0tLS0tLS4rKysrKysrKysrKysrLg==

BASE64解码:

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>>++++++++++++.----.-----------.++++++++++++++++++++++++.--------------------.+++++++++++++.

这个是brain fuck码!

https://www.splitbrain.org/services/ook

解密后是:player

http://192.168.1.3/MCP/terminalserver/30513.txt

这个下面还有个文件:可见明文和密文文件上倒过来的!

substitute

--------------------------

plaintext

abcdefghijklmnopqrstuvwxyz

ciphertext

zyxwvutsrqponmlkjihgfedcba

这里结合前面的源代码的tips,进行解密!

1650162951_625b7d0733a2a9ba5639b.png!small?1650162952562

1650162956_625b7d0c8394b48adb55d.png!small?1650162957861

1650162960_625b7d10f05405d0af80c.png!small?1650162962286

1650162964_625b7d14a26ac7804e527.png!small?1650162965992

得到密码:pass:SyWP9j94ZgE9jD

补充小知识:

该种加密方式的介绍:

1650162976_625b7d202fbc01825048f.png!small?1650162977518

得到用户名:player

得到密码:SyWP9j94ZgE9jD

尝试通过ssh进行登录:

1650162996_625b7d346ae260921c6d0.png!small?1650162997879

第一个flag:

cat user.txt

HM************r2021

权限提升阶段

接着就是要提权到root了!!!

sudo -l和suid走起!

1650163029_625b7d5593666d3d92194.png!small?1650163031026

没啥东东!

直接上传提权侦察脚本!

1650163034_625b7d5a6486a20d8234f.png!small?1650163035694

1650163038_625b7d5e7dced1f452348.png!small?1650163040065

1650163043_625b7d638519700475cd9.png!small?1650163045140

这里发现了有趣的文件:/etc/passwd对于当前账户可写!

1650163048_625b7d6858698b1a321b3.png!small?1650163049674

我们看下kali下该文件的权限:

1650163052_625b7d6c677bcf9718296.png!small?1650163053714

看到区别了吧,当前用户可以修改/etc/passwd这个文件!

继续下面之前我们要做个试验:

我们在kali linux上新建一个账户:

useradd -m test

passwd test

12345678

12345678

cat /etc/passwd

1650163059_625b7d7398a9b3ac1cdef.png!small?1650163060989

cat /etc/shadow

1650163064_625b7d780ebec2eb13fbc.png!small?1650163065361

我们用“openssl”生成一个新密码,然后通过替换root的“x”粘贴到/etc/passwd中。

1650163069_625b7d7dda38a253d0847.png!small?1650163071175

明文:87654321

密文:.4R8vhJxOfnYg

1650163105_625b7da14c65ed444717d.png!small?1650163106593

将用户test的字段修改为openssl生成的密文!

cat /etc/passwd

1650163110_625b7da6b6319a81abd51.png!small?1650163112025

在看下/etc/shadow字段!

1650163115_625b7dabbc9a002e21405.png!small?1650163117076

并没有改变,接着我们登录下这个账户,看密码到底是12345678还是87654321!!!

1650163119_625b7dafa36b4dafffdb9.png!small?1650163120979

密码是87654321!,看来身份鉴别需要先校验/etc/passwd文件,所以该文件修改后,就可以登录了!

回到这个靶机,那就很简单了,把/etc/passwd中root用户密码修改为生成的密码就可以实现登录到root账户了!!!

1650163127_625b7db761b574db3a2a7.png!small?1650163128708

1650163132_625b7dbc64723c7c682d4.png!small?1650163133719

1650163136_625b7dc0c79b44b0d90cf.png!small?1650163138217

最后的flag:

cat root.txt

HMVM*****************gram2021

# 渗透测试 # web安全 # CTF # 靶场实战 # 靶场攻关
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
前言
    信息收集阶段
      漏洞利用阶段
        权限提升阶段