这次渗透的靶机相比之前的靶机,要有趣多了,它其实是模拟两个网络的三个靶机群,相比之前靶机,渗透所需花费的时间和精力就要多一些,我是在业余时间里分多次进行渗透的,所以大家看到图片中的IP不是全部一致的,请大家见谅。凡是命令行中有“@Kali"的是指Kali测试机,其他的是指靶机。
在信息收集的过程中,我发现这个靶机的TCP端口除了22号端口(ssh)是开放的,其他端口都是关闭的。在没有其他任何信息的情况下,ssh是无计可施的。那就换一个方向,看看UDP端口有没有可以利用的信息呢?
我们发现SNMP协议端口是开放的!那么我们就想办法利用一下snmp找一些可以利用的信息。这里推荐一个工具:snmpwalk。 snmpwalk是SNMP的一个工具,它使用SNMP的GETNEXT请求查询指定OID(SNMP协议中的对象标识)入口的所有OID树信息,并显示给用户。通过snmpwalk还可以查看支持SNMP协议(可网管)的设备的一些其他信息,比如cisco交换机或路由器IP地址、内存使用率等,也可用来协助开发SNMP功能。
在snmap的探测结果我们找到了一个账户Eric / therisingsun。
我们利用系统内核漏洞,进行提权。关于提权的过程待我把这三个靶机全部完成了再详细讲述。
我们发现,这个靶机还连接着另外一个网络,经由当前靶机可以进一步向“内网”渗透。
我们先编个脚本扫测“内网”存活的主机,脚本和扫测的结果如下面几幅图中所示。
“内网”的存活主机找到了,怎么渗入呢?目前能想到的就是ssh了。先用ssh尝试一下,也许会有有些提示信息。如下图所示,提示信息的大致意思是说,ssh账号很过时,可以了解一下歌手sandieshaw和她最著名的歌曲。至于她的“一人一首成名曲”是什么,我也想花时间多找了,就是"puppet on a string",去掉空格符,就成了“puppetonastring”。使用账户sandieshaw,密码是puppetonastring,我用这个账号登录第二个靶机。
进入到靶机后扫荡一番吧,一切工作都是为了最后的提权(root)。我在这个靶机的.puppet/ssl中找到了密钥和公钥。但是,我暂时还不知道在哪里可以用到,先暂且记下来吧。
我先找找其他可以提权的文件吧。之前的靶机渗透文章里讲过查找靶机中文件和程序权限的方法。
今天的时间不早了。靶机渗透下次继续。敬请关注!
