靶场搭建
下载后直接导入,打开直接用。
IP:192.168.1.133
渗透过程
信息初收集
22/tcp open ssh
113/tcp open ident
139/tcp open netbios-ssn
445/tcp open microsoft-ds
8080/tcp open http-proxy22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
113/tcp open ident?
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
8080/tcp open http-proxy IIS 6.0Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9开了smb服务和web服务
先看smb服务
print$ Disk Printer Drivers
access Disk
IPC$ IPC IPC Service (development server (Samba, Ubuntu))
S-1-22-1-1000 Unix User\admin (Local User)
S-1-22-1-1001 Unix User\patrick (Local User)
S-1-22-1-1002 Unix User\intern (Local User)
S-1-22-1-1003 Unix User\ossec (Local User)
S-1-22-1-1004 Unix User\ossecm (Local User)
S-1-22-1-1005 Unix User\ossecr (Local User)进行了目录和用户枚举
access目录需要登录才能查看,无解
尝试了samba服务的usermap漏洞模块无果==、
进到了web服务看到了提示html_pages目录,。获取到一些信息
-rw-r--r-- 1 www-data www-data 285 Sep 26 17:46 about.html
-rw-r--r-- 1 www-data www-data 1049 Sep 26 17:51 config.html
-rw-r--r-- 1 www-data www-data 199 Jul 23 15:37 default.html
-rw-r--r-- 1 www-data www-data 1086 Sep 28 09:22 development.html
-rw-r--r-- 1 www-data www-data 446 Jun 14 01:37 downloads.html
-rw-r--r-- 1 www-data www-data 285 Sep 26 17:53 error.html
-rw-r--r-- 1 www-data www-data 0 Sep 28 09:23 html_pages
-rw-r--r-- 1 www-data www-data 751 Sep 28 09:22 index.html
-rw-r--r-- 1 www-data www-data 202 Sep 26 17:57 login.html
-rw-r--r-- 1 www-data www-data 682 Jul 23 15:36 register.html
-rw-r--r-- 1 www-data www-data 74 Jul 23 16:29 tryharder.html
-rw-r--r-- 1 www-data www-data 186 Sep 26 17:58 uploads.html一个个访问过去,搜集一些信息
about.html
- 用户:David
default.html
1001000 01010101 01001000 00111111- 翻译:
HUH?
development.html
- 提示,页面里藏东西了
downloads.html
- Patrick最喜欢的饮料:The Intern's Life Motto/martell
- 源代码里有
<a href="./test.pcap">Logging</a>一个流量文件
register.html
01010011 01110101 01110010 01100101 01101100 01111001 00100000 01100100 01100101 01110110 01100101 01101100 01101111 01110000 01101101 01100101 01101110 01110100 00100000 01110011 01100101 01100011 01110010 01100101 01110100 00100000 01110000 01100001 01100111 01100101 00100000 01101001 01110011 00100000 01101110 01101111 01110100 00100000 01110100 01101000 01100001 01110100 00100000 01101000 01100001 01110010 01100100 00100000 01110100 01101111 00100000 01100110 01101001 01101110 01100100 00111111- 翻译:
Surely development secret page is not that hard to find?
uploads.html
- 提示通过文件上传拿到shell,web服务是root权限运行
login.html
- 提示寻找登录界面
下载流量文件,审一下,从http流量中发现的developmentsecretpage目录找到了登录口
尝试进行敏感目录收集,发现会ban掉IP==、所以大规模的扫描指定是不行了。
敏感信息泄露
尝试根据提示猜测口令,发现了报错信息
Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 335
Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 336搜索使用的slogin_lib.inc.php得到具有文件包含和敏感信息泄露
访问:http://192.168.1.133:8080/developmentsecretpage/slog_users.txt拿到账号密码
进行md5解密
admin, 3cb1d13bb83ffff2defe8d1443d3a0eb, 解不开
intern, 12345678900987654321
patrick, P@ssw0rd25
qiu, qiu尝试登录,登进去啥也没,没用。
intern、patrick在机器上也有账号,尝试shh登录机器
intern能成功登录。
虚假shell逃逸
看到么用户目录下面的文件,想要cat一下发现没用命令。?一下发现shell不对劲,可能是lshell,逃逸一下:os.system('/bin/bash')
查看了下目录、sudo权限没有什么能用了
可以尝试弹shell到msf中,利用提权模块进行提权,或者上一些提权脚本。但是机器上没有gcc,可能比较麻烦
想到还有一个账号可以尝试登录一下
提权
尝试su patrick发现能登录,估计是禁了ssh
查看sudo权限
User patrick may run the following commands on development:
(ALL) NOPASSWD: /usr/bin/vim
(ALL) NOPASSWD: /bin/nano发现有sudo的vim权限。v
vim能够在编辑器中执行shell命令,直接sudo vim,然后:shell
拿到root权限。
小结
绕,利用已知信息一点点搞。哎很不爽,我只喜欢暴力一点的。