VulnHub靶机系列:Os-ByteSec
一 前言
Vulnhub是一個提供各種漏洞環境的靶場平臺,供安全愛好者學習滲透使用,大部分環境是做好的虛擬機鏡像文件,鏡像預先設計了多種漏洞,需要使用VMware或者VirtualBox運行。每個鏡像會有破解的目標,大多是Boot2root,從啟動虛機到獲取操作系統的root權限和查看flag。
網址:https://www.vulnhub.com
二 運行說明
靶機名稱:Os-Bytesec
靶機難度:初學者/中級
目標:有兩個flag,一個user-flag,一個root-flag
攻擊機:kali linux,IP地址192.168.199.216
靶機:os-bytesec,IP地址192.168.199.148
三 滲透過程
ip發現
首先打開kali linux,掃描kali網段中目前存活的ip,目前有6個存活ip。
nmap -sP 192.168.199.1/24啟動ByteSec靶機,界面如下:
沒有直接告訴ip地址,看來需要我們自己探測了。
由于攻擊機和虛擬機網絡設置均為橋接模式,使用Nmap掃描kali網段C段ip,即可找到靶機ip,命令:
nmap -sP 192.168.199.1/24多出一個ip,和上面6個ip進行比對,獲得靶機ip:102.168.199.148
端口和服務識別
ip已經有了,我們來看看Ta開了什么端口吧。使用nmap掃描1-65535全端口:
nmap -v -A -sS -Pn -T4 -p 1-65535 192.168.199.148目標開放端口如下:
| 80/TCP | open | http | Apache httpd 2.4.18 ((Ubuntu)) |
| 139/TCP | open | smb | Samba smbd 3.X – 4.X |
| 445/TCP | open | smb | Samba smbd 4.3.11-Ubuntu |
| 2525/TCP | open | ssh | OpenSSH 7.2p2 Ubuntu |
網站查看
好了,先看看這個網站有什么線索吧。網站主頁如下:
導航欄上都點開看看是什么,home是主頁,點擊gallery,是一些圖片,一一查看,沒什么有價值的。查看源代碼,也沒什么有用的線索。
點擊news,也是一張圖片,難道它再向我暗示著什么嗎?
哎,從這些線索看暫時還無頭緒。從網站看暫時還不能給我們提供什么有價值的信息。
爆破目錄
爆個目錄看看吧,這里使用dirb進行目錄爆破。
Dirbhttp://192.168.199.148/哦!看來也沒掃出來什么!看來只能先放下網站,看看smb有什么漏洞可利用嗎?
測試SMB
一說到smb,諸位表哥第一印象肯定是Windows的MS-17-010了,正當我計劃祭出msf準備一梭子收的時候,才猛然想起目標機器是Ubuntu系統。尷尬了!咳咳!smb,Ubuntu系統中smb利用還沒接觸過,怎么辦?
遇到不懂得,首先就百度,哈哈。
看來有戲,看一下smbclient的用法:
smbclient//ip/myshare -U xxxx一遇見登錄,首先肯定要試試弱密碼,經過多次嘗試,測出賬戶名為smb,密碼為空。
ok!接下來要好好看看里面有什么東西了。里面一共就2個文件。
把safe.zip下載到本地。下載到本地后嘗試解壓,發現解壓需要密碼。
有密碼?弱口令繼續安排上。什么,不行?不行就爆破安排上,沒有爆不出來的密碼。各位表哥有更好的壓縮包爆破工具或自己寫的爆破工具都可以自己安排。這里我用的是fcrackzip,如果沒有的,使用下列命令安裝:
apt-get install fcrackzip爆破使用kali自帶的字典,使用fcrackzip爆破如果要使用字典,必須加上-p參數,-u 是指定zip 格式
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safezip解出壓縮密碼,然后進行解壓得到兩個文件,secret.jpg和user.cap
user-flag
用Wireshark打開user.cap看了下,是個無線數據包。使用aircrack-ng破解user.cap文件。
找到一個用戶名 blackjax 和密碼 snowflake。然后嘗試ssh連接測試,成功連接。
查看下當前目錄有什么文件,發現當前目錄有個user.txt文件。
查看文件內容:
至此發現了第一個user-flag,解碼后得abhishek,看來還有一個root的flag,估計是需要提升權限才能看到了。
權限提升
查看靶機Ubuntu版本號,根據當前版本搜索有沒有可利用的提權方法。
不斷查找提權方法,不斷測試(由于篇幅原因,測試失敗的就不一一列舉了),功夫不負有心人,終于找到了一篇講解各種方法進行Linux提權的的文章。
由于目標系統未安裝gcc且當前權限也限制安裝,需要gcc編譯的那一步無法完成。但我們目前情況和作者例子中的一樣,同樣登錄到目標系統,然后進入提權階段。我們先嘗試按文章中作者步驟走,看能否成功?
在find命令的幫助下不浪費時間的搜索具有SUID或4000權限的文件。
find / -perm -u=s -type f 2>/dev/null然后我們進入/usr/bin,看到netscan比較可疑,因為scan,各位表哥應該都懂。所以我們運行這個文件,在這里它看起來像文件netscan試圖運行netstat,這是一個真正的在/bin中的文件可以查看端口狀態。
繼續進行下一步
cd /tmp echo "/bin/sh" > netstatchmod 777 netstat echo $PATH export PATH=/tmp:$PATH cd /usr/bin ./netscan whoamiroot-flag
成功提權至root權限。進入root目錄下,有個root.txt文件,查看文件。
到此,2個flag:user-flag和root-flag已全部找到。
四 總結
主要突破點:
通過SMB獲取共享文件;
通過爆破獲取密碼;
從user.cap獲取賬戶和密碼;
利用$PATH變量提權。
遇見的坑:
未仔細查看靶機介紹,在VMware中打開靶機后,靶機無法自動獲取到ip(有表哥可以的話請告訴我怎么設置得);
在網站上耗費時間較長,爆破目錄,fuzz敏感文件等,還是不要死磕到底,一擊不中換其他目標,也不是說徹底放棄,暫時沒思路小本本先記著,也許哪天有個靈感再返回來測;
爆破壓縮包密碼開始先用了-b參數暴力破解,比較耗費時間。
參考鏈接
fcrackzip 用法:https://blog.csdn.net/linux_hacher/article/details/78470513
利用 PATH 環境變量進行 Linux 提權:https://www.anquanke.com/post/id/146799
?
總結
以上是生活随笔為你收集整理的VulnHub靶机系列:Os-ByteSec的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一句命令删除docker所有镜像或容器
- 下一篇: zmq 接口函数之 :zmq_socke