VulnHub靶機系列:Os-ByteSec
- 2019 年 12 月 27 日
- 筆記
一 前言
Vulnhub是一個提供各種漏洞環境的靶場平台,供安全愛好者學習滲透使用,大部分環境是做好的虛擬機鏡像文件,鏡像預先設計了多種漏洞,需要使用VMware或者VirtualBox運行。每個鏡像會有破解的目標,大多是Boot2root,從啟動虛機到獲取作業系統的root許可權和查看flag。
網址:https://www.vulnhub.com
二 運行說明
靶機名稱:Os-Bytesec
靶機難度:初學者/中級
目標:有兩個flag,一個user-flag,一個root-flag
攻擊機:kali linux,IP地址192.168.199.216
靶機:os-bytesec,IP地址192.168.199.148
三 滲透過程
ip發現
首先打開kali linux,掃描kali網段中目前存活的ip,目前有6個存活ip。
nmap -sP 192.168.199.1/24
啟動ByteSec靶機,介面如下:
沒有直接告訴ip地址,看來需要我們自己探測了。
由於攻擊機和虛擬機網路設置均為橋接模式,使用Nmap掃描kali網段C段ip,即可找到靶機ip,命令:
nmap -sP 192.168.199.1/24
多出一個ip,和上面6個ip進行比對,獲得靶機ip:102.168.199.148
埠和服務識別
ip已經有了,我們來看看Ta開了什麼埠吧。使用nmap掃描1-65535全埠:
nmap -v -A -sS -Pn -T4 -p 1-65535 192.168.199.148
目標開放埠如下:
|
埠 |
狀態 |
服務 |
版本 |
|---|---|---|---|
|
80/TCP |
open |
http |
Apache httpd 2.4.18 ((Ubuntu)) |
|
139/TCP |
open |
smb |
Samba smbd 3.X – 4.X |
|
445/TCP |
open |
smb |
Samba smbd 4.3.11-Ubuntu |
|
2525/TCP |
open |
ssh |
OpenSSH 7.2p2 Ubuntu |
網站查看
好了,先看看這個網站有什麼線索吧。網站主頁如下:
導航欄上都點開看看是什麼,home是主頁,點擊gallery,是一些圖片,一一查看,沒什麼有價值的。查看源程式碼,也沒什麼有用的線索。
點擊news,也是一張圖片,難道它再向我暗示著什麼嗎?
哎,從這些線索看暫時還無頭緒。從網站看暫時還不能給我們提供什麼有價值的資訊。
爆破目錄
爆個目錄看看吧,這裡使用dirb進行目錄爆破。
Dirbhttp://192.168.199.148/
哦!看來也沒掃出來什麼!看來只能先放下網站,看看smb有什麼漏洞可利用嗎?
測試SMB
一說到smb,諸位表哥第一印象肯定是Windows的MS-17-010了,正當我計劃祭出msf準備一梭子收的時候,才猛然想起目標機器是Ubuntu系統。尷尬了!咳咳!smb,Ubuntu系統中smb利用還沒接觸過,怎麼辦?
遇到不懂得,首先就百度,哈哈。
看來有戲,看一下smbclient的用法:
smbclient//ip/myshare -U xxxx
一遇見登錄,首先肯定要試試弱密碼,經過多次嘗試,測出賬戶名為smb,密碼為空。
ok!接下來要好好看看裡面有什麼東西了。裡面一共就2個文件。
把safe.zip下載到本地。下載到本地後嘗試解壓,發現解壓需要密碼。
有密碼?弱口令繼續安排上。什麼,不行?不行就爆破安排上,沒有爆不出來的密碼。各位表哥有更好的壓縮包爆破工具或自己寫的爆破工具都可以自己安排。這裡我用的是fcrackzip,如果沒有的,使用下列命令安裝:
apt-get install fcrackzip
爆破使用kali自帶的字典,使用fcrackzip爆破如果要使用字典,必須加上-p參數,-u 是指定zip 格式
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safezip
解出壓縮密碼,然後進行解壓得到兩個文件,secret.jpg和user.cap
user-flag
用Wireshark打開user.cap看了下,是個無線數據包。使用aircrack-ng破解user.cap文件。
找到一個用戶名 blackjax 和密碼 snowflake。然後嘗試ssh連接測試,成功連接。
查看下當前目錄有什麼文件,發現當前目錄有個user.txt文件。
查看文件內容:
至此發現了第一個user-flag,解碼後得abhishek,看來還有一個root的flag,估計是需要提升許可權才能看到了。
許可權提升
查看靶機Ubuntu版本號,根據當前版本搜索有沒有可利用的提權方法。
不斷查找提權方法,不斷測試(由於篇幅原因,測試失敗的就不一一列舉了),功夫不負有心人,終於找到了一篇講解各種方法進行Linux提權的的文章。
由於目標系統未安裝gcc且當前許可權也限制安裝,需要gcc編譯的那一步無法完成。但我們目前情況和作者例子中的一樣,同樣登錄到目標系統,然後進入提權階段。我們先嘗試按文章中作者步驟走,看能否成功?
在find命令的幫助下不浪費時間的搜索具有SUID或4000許可權的文件。
find / -perm -u=s -type f 2>/dev/null
然後我們進入/usr/bin,看到netscan比較可疑,因為scan,各位表哥應該都懂。所以我們運行這個文件,在這裡它看起來像文件netscan試圖運行netstat,這是一個真正的在/bin中的文件可以查看埠狀態。
繼續進行下一步
cd /tmp echo "/bin/sh" > netstatchmod 777 netstat echo $PATH export PATH=/tmp:$PATH cd /usr/bin ./netscan whoami
root-flag
成功提權至root許可權。進入root目錄下,有個root.txt文件,查看文件。
到此,2個flag:user-flag和root-flag已全部找到。
四 總結
主要突破點:
通過SMB獲取共享文件; 通過爆破獲取密碼; 從user.cap獲取賬戶和密碼; 利用$PATH變數提權。
遇見的坑:
未仔細查看靶機介紹,在VMware中打開靶機後,靶機無法自動獲取到ip(有表哥可以的話請告訴我怎麼設置得); 在網站上耗費時間較長,爆破目錄,fuzz敏感文件等,還是不要死磕到底,一擊不中換其他目標,也不是說徹底放棄,暫時沒思路小本本先記著,也許哪天有個靈感再返回來測; 爆破壓縮包密碼開始先用了-b參數暴力破解,比較耗費時間。
參考鏈接
fcrackzip 用法:https://blog.csdn.net/linux_hacher/article/details/78470513 利用 PATH 環境變數進行 Linux 提權:https://www.anquanke.com/post/id/146799
*本文作者:VVhAt2,轉載請註明來自FreeBuf.COM
