信息收集

探測主機存活信息：

nmap -sn --min-rate 10000 192.168.182.0/24Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-14 15:45 CST
Nmap scan report for 192.168.182.1
Host is up (0.00026s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.182.2
Host is up (0.00011s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.182.136
Host is up (0.00018s latency).
MAC Address: 00:0C:29:39:E9:62 (VMware)
Nmap scan report for 192.168.182.254
Host is up (0.000027s latency).
MAC Address: 00:50:56:FE:DC:E9 (VMware)
Nmap scan report for 192.168.182.130
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 0.37 seconds

端口信息探測：

服務版本信息探測：

FTP端口開放可能存在匿名登陸，還有80端口下存在一個secret目錄，同時開放了80端口！

漏洞腳本掃描：

nmap -sT --script=vuln -p21,22,80 192.168.182.136PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-enum: 
|   /robots.txt: Robots file
|_  /secret/: Potentially interesting folder
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_      http://ha.ckers.org/slowloris/
MAC Address: 00:0C:29:39:E9:62 (VMware)

整體信息收集做完了之后，感覺沒什么發現~

滲透測試

既然出現了21，22，80端口，其實這里我還是先看看80端口上是不是存在什么服務，能夠被我們利用，但是轉了一圈也沒什么發現。

看了源碼也沒發現什么東西，就是一個圖片鏈接。上面在信息收集的時候，發現了robots.txt文件和一個secret目錄！

robots.txt文件中的內容也是secret目錄~看看這個目錄下面存在什么吧

你生氣了？ （不不不 我沒生氣~）

利用dirsearch和dirb兩個工具全部都進行了目錄掃描，但是均沒有相關的發現~

難道突破點并不是在80端口上嗎？ftp？之前在信息收集的時候發現了ftp存在匿名登錄，并且好像還有一個文件！

21 FTP

嘗試利用FTP匿名登錄進行突破，這里沒利用過FTP的匿名登錄漏洞進行getshell過，也沒有打過ftp~

查詢了相關的資料，說是ftp存在兩個匿名賬號，分別是ftp和 anonymous ！

嘗試登錄下：

ftp 192.168.182.136

確實沒什么問題，能夠成功的登陸到FTP中！利用dir命令查看到當前的目錄下面存在一個pcap的文件，嘗試利用get命令將他下載到本地攻擊機！

get lol.pcap

本地利用wireshark打開這個文件:

這個流量包里面，記錄了用戶使用匿名的賬號anonymous和密碼password進行登錄 ，并且登錄成功！

數據包里面發現了一個可疑的文件 secret_stuff.txt文件！！！追蹤流

嘗試利用匿名賬號anonymous賬號進行登錄，上去看看里面存在什么東西！

沒發現什么東西，但是通過跟蹤流，發現了一點點東西：追蹤tcp的流，發現在第二個流里面出現了提示：

后面出現了一個字符串！這個字符串有什么用呢？思考了一下會不會是路徑啊？

80端口滲透測試

嘗試下：

還真的是個路徑！

發現了一個文件！這個文件的名字是不是有什么含義？

麻了 好像是被演了~

看看里面存在什么東西吧：

首先這個文件是一個32位的可執行文件！

找這個地址！

發現了兩個文件夾，都下載下來看看里面都有些什么東西吧：

密碼文件：

Good_job_:)

which_one_lol.txt文件中的內容是：

maleus
ps-aux
felux
Eagle11
genphlux < -- Definitely not this one
usmc8892
blawrg
wytshadow
vis1t0r
overflow

嘗試進行ssh的噴灑，但是失敗了！

這里會出現 拒絕連接的情況！出現這種情況 說明靶機配置了相關策略來避免 ssh的爆破行為！

但是即便是手動去嘗試的話，還是不會成功~ 到這里我就不知道該怎么打了~看了一下wp 震驚了~

這個文件夾下面的文件名是Pass.txt 里面的內容是Good_job_:) 我們用的密碼就是Good.. 其實密碼是Pass.txt 哇 屬實是抽象了！

SSH登陸成功之后，便可以進行提權了！

提權

看了看當前用戶的權限，發現當前用戶不能執行sudo..

看suid權限的文件，沒找到能利用的。。

看/etc/passwd 發現了

只有兩個用戶存在bash！

看看定時任務，也沒有發現什么東西！（沒權限看）

直接準備上內核漏洞了我！uname -a

searchsploit搜索

看起來這兩個比較靠譜，這個系統就是ubuntu的，試試37292

起php服務，讓靶機直接下載，在靶機上進行編譯和執行！

提權成功~（前面的密碼實在是太抽象了 我覺得我不看wp 給我一個星期 一個月 都做不出來了~）

【補充】

針對本次靶場進行復盤！

首先就是說下前面的滲透測試過程，還是需要發散思維~ 關于ssh上面的爆破，兩個工具分別是crackmapexec和hydra工具~ 出現連接補上的情況的時候，需要判斷到是不是ssh配置了相關的禁止爆破的策略！

之后來到了提權的階段！

關于提權，我利用了內核漏洞進行提權，我在提權的過程中，查看了計劃任務，但是呢并沒有權限去查看~因此就放棄了這條路，但是在我提權的過程中，出現了下面的一個狀況！

整個會話自動的退出來了，昨天我在打的時候，并沒有過多的在意，感覺自己還是缺乏這個意識，我以為是這個靶機有問題~~

既然自動退出會話，會不會就是存在相關的定時任務呢？可能這個定時任務并不是/etc/crontab ? 那么我們就可以利用這個cron關鍵字進行匹配！

find / -name cron* 2>/dev/null

找到了一個定時任務是/var/log/cronlog，查看這個定時任務的內容是什么？

發現了這個定時任務是，每兩分鐘執行一次cleaner.py這個文件，接下來我們就是去尋找這個文件！

找到之后 我們嘗試去替換掉里面的內容

看到這個文件就是利用system將/tmp下面的臨時文件給刪除了

那么我們嘗試修改一下這個文件

os.system('echo "overflow ALL=(ALL)NOPASSWD:ALL" > /etc/sudoers')

之后等待兩分鐘之后，我們就可以重新查看當前用戶的權限！（即便是自動退出 也沒什么關系，因為我們已經寫進去了）

可以看到上面的權限配置信息！直接利用sudo起一個bash即可

提權成功~ （重點還是要培養自己的思維！看到自動退出了 居然都想不起來存在自動任務！）