# 靶场搭建
下载后直接导入,打开直接用。
IP: 192.168.1.133
# 渗透过程
# 信息初收集
22/tcp open ssh | |
113/tcp open ident | |
139/tcp open netbios-ssn | |
445/tcp open microsoft-ds | |
8080/tcp open http-proxy |
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
113/tcp open ident?
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
8080/tcp open http-proxy IIS 6.0
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
开了 smb 服务和 web 服务
先看 smb 服务
print$ Disk Printer Drivers
access Disk
IPC$ IPC IPC Service (development server (Samba, Ubuntu))
S-1-22-1-1000 Unix User\admin (Local User)
S-1-22-1-1001 Unix User\patrick (Local User)
S-1-22-1-1002 Unix User\intern (Local User)
S-1-22-1-1003 Unix User\ossec (Local User)
S-1-22-1-1004 Unix User\ossecm (Local User)
S-1-22-1-1005 Unix User\ossecr (Local User)
进行了目录和用户枚举
access 目录需要登录才能查看,无解
尝试了 samba 服务的 usermap 漏洞模块无果 ==、
进到了 web 服务看到了提示 html_pages 目录,。获取到一些信息
-rw-r--r-- 1 www-data www-data 285 Sep 26 17:46 about.html | |
-rw-r--r-- 1 www-data www-data 1049 Sep 26 17:51 config.html | |
-rw-r--r-- 1 www-data www-data 199 Jul 23 15:37 default.html | |
-rw-r--r-- 1 www-data www-data 1086 Sep 28 09:22 development.html | |
-rw-r--r-- 1 www-data www-data 446 Jun 14 01:37 downloads.html | |
-rw-r--r-- 1 www-data www-data 285 Sep 26 17:53 error.html | |
-rw-r--r-- 1 www-data www-data 0 Sep 28 09:23 html_pages | |
-rw-r--r-- 1 www-data www-data 751 Sep 28 09:22 index.html | |
-rw-r--r-- 1 www-data www-data 202 Sep 26 17:57 login.html | |
-rw-r--r-- 1 www-data www-data 682 Jul 23 15:36 register.html | |
-rw-r--r-- 1 www-data www-data 74 Jul 23 16:29 tryharder.html | |
-rw-r--r-- 1 www-data www-data 186 Sep 26 17:58 uploads.html |
一个个访问过去,搜集一些信息
- about.html
- 用户:David
- default.html
1001000 01010101 01001000 00111111- 翻译:
HUH?
- development.html
- 提示,页面里藏东西了
- downloads.html
- Patrick 最喜欢的饮料:The Intern's Life Motto/martell
- 源代码里有
<a href="./test.pcap">Logging</a>一个流量文件
- register.html
01010011 01110101 01110010 01100101 01101100 01111001 00100000 01100100 01100101 01110110 01100101 01101100 01101111 01110000 01101101 01100101 01101110 01110100 00100000 01110011 01100101 01100011 01110010 01100101 01110100 00100000 01110000 01100001 01100111 01100101 00100000 01101001 01110011 00100000 01101110 01101111 01110100 00100000 01110100 01101000 01100001 01110100 00100000 01101000 01100001 01110010 01100100 00100000 01110100 01101111 00100000 01100110 01101001 01101110 01100100 00111111- 翻译:
Surely development secret page is not that hard to find?
- uploads.html
- 提示通过文件上传拿到 shell,web 服务是 root 权限运行
- login.html
- 提示寻找登录界面
下载流量文件,审一下,从 http 流量中发现的 developmentsecretpage 目录找到了登录口
尝试进行敏感目录收集,发现会 ban 掉 IP==、所以大规模的扫描指定是不行了。
# 敏感信息泄露
尝试根据提示猜测口令,发现了报错信息
Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 335 | |
Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 336 |
搜索使用的 slogin_lib.inc.php 得到具有文件包含和敏感信息泄露
访问: http://192.168.1.133:8080/developmentsecretpage/slog_users.txt 拿到账号密码
进行 md5 解密
admin, 3cb1d13bb83ffff2defe8d1443d3a0eb, 解不开 | |
intern, 12345678900987654321 | |
patrick, P@ssw0rd25 | |
qiu, qiu |
尝试登录,登进去啥也没,没用。
intern、patrick 在机器上也有账号,尝试 shh 登录机器
intern 能成功登录。
# 虚假 shell 逃逸
看到么用户目录下面的文件,想要 cat 一下发现没用命令。 ? 一下发现 shell 不对劲,可能是 lshell ,逃逸一下: os.system('/bin/bash')
查看了下目录、sudo 权限没有什么能用了
可以尝试弹 shell 到 msf 中,利用提权模块进行提权,或者上一些提权脚本。但是机器上没有 gcc,可能比较麻烦
想到还有一个账号可以尝试登录一下
# 提权
尝试 su patrick 发现能登录,估计是禁了 ssh
查看 sudo 权限
User patrick may run the following commands on development:
(ALL) NOPASSWD: /usr/bin/vim
(ALL) NOPASSWD: /bin/nano
发现有 sudo 的 vim 权限。v
vim 能够在编辑器中执行 shell 命令,直接 sudo vim ,然后 :shell
拿到 root 权限。
# 小结
绕,利用已知信息一点点搞。哎很不爽,我只喜欢暴力一点的。
