# 靶场搭建
下载,导入,开箱即食。
IP: 192.168.1.130
# 渗透测试
# 信息初收集
PORT STATE SERVICE VERSION | |
22/tcp open ssh OpenSSH 6.7p1 Ubuntu 5ubuntu1.3 (Ubuntu Linux; protocol 2.0) | |
| ssh-hostkey: | |
| 1024 cb:47:92:da:ea:b8:d3:82:16:22:0d:a5:5f:05:47:51 (DSA) | |
| 2048 fd:93:9d:28:57:fb:ef:e0:8e:f1:93:66:03:67:35:50 (RSA) | |
| 256 a0:a6:52:fb:2c:32:b7:08:b4:ed:61:1d:2d:fa:c8:58 (ECDSA) | |
|_ 256 85:5b:0b:e1:b0:ad:6a:d3:9e:8f:da:38:e5:bd:69:2f (ED25519) | |
33447/tcp filtered unknown | |
MAC Address: 00:0C:29:91:43:EA (VMware) | |
Device type: general purpose | |
Running: Linux 3.X|4.X | |
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 | |
OS details: Linux 3.2 - 4.9 | |
Network Distance: 1 hop | |
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel |
ssh 看一下,有个提示: 3.2.1 Let's Start the Game.
眼熟,knock 一下: knock 192.168.1.130 3 2 1 。发现 33447 开放了,芜湖。
进去一看很嘲讽,图片下载下来发现有个 binwalk,但是我分离出来之后打不开,不知道为什么 ==、
目录收集,找到了 http://192.168.1.130:33447/bin/ ,瞅一眼
需要登录,sql 注入无果,进一步扫描 http://192.168.1.130:33447/bin/dashboard.php 发现页面
需要登录,弱口令无果,研究请求头,尝试添加 referer,因为中间通讯的过程中要走 includes/validation.php ,所以添加了一下 referer。结果发现登录成功了
查看源代码发现提示: http://192.168.1.130:33447/bin/l33t_haxor.php?id= ,注入需要添加 tamper,脱裤得到提示: UB3R/strcpy.exe
下载下来看看,linux 服务器上为啥会有 exe?file 瞅一眼,是个 PDF 类型的文件,经过了压缩。 unrar x 解压一下得到文件
解压的 lol.jpg 用 binwalk 看了一下,还有,继续解压一下,发现一个通讯录,里面有个二进制的东西,解码一下
┌──(root㉿kali)-[~/Downloads] | |
└─# echo 'AQAAABIAAABOAG8AbwBCAEAAMQAyADMAAAA=' | base64 -d | |
NooB@123 |
一共就两个用户 Avinash 和 Makke,用这个当做密码登录一下 ssh 看看呢,大小写都试一下,发现 makke 能够登录
# 提权
剩下的就是提权了宝贝
用 msf 的 ssh_login 登录上去,然后用 suggester 瞅瞅提权漏洞,无果 ==、
searchsploit 查找提权模块,找到了 37292.c 通过 nc 传递,目标机器上编译,执行。拿到了 root 权限!
# 小结
偏 CTF 感觉,中间的要使用 binwalk
