Os-Bytes
信息搜集

80端口开着,ssh端口被改到了2525。
dirb扫描没啥发现
网页的gallery目录列出目录下文件,尝试目录穿越失败

news栏目只有张图

百度一波,得知是一种蓝牙攻击,可以通过攻击造成Windows远程桌面服务的远程代码执行,嗯。。。然而这是linux
网页底部存在可能是提示信息

前面已经扫到目标主机开放了两个Samba端口,首先了解一下Samba
服务器消息块(SMB)协议是一种网络文件共享协议,在Microsoft Windows中实现称为Microsoft SMB协议。SMB允许您共享文件,磁盘,目录,打印机等 从Windows 2000及更高版本开始,SMB可以使用端口445在
TCP / IP
上运行,而无需运行NetBIOS
会话。由于SMB提供了多种功能,例如操作文件,共享,消息传递,IPC等,它在内网枚举和内网探索阶段是对黑客最有吸引力的服务之一。
百度得知相应协议

Samba攻击
搜索相关攻击信息

MSF应当是集成了一些payload,试一下

嗯。。。。全失败。。回到百度点开第一个连接,条件挺像的,跟着试下,SMBSHARE这里需要一个可写的目录,保险设置为tmp


仍然失败。。。
接着百度,得知我们可以用smbclient访问

但这里root密码以及用户都不知道
尝试爆破用户名密码,一番无果最后却发现是任意用户无密码登录。。。

但是没有权限读取共享目录

enum4linux枚举smb用户
看wp学到了使用enum4linux枚举smb用户
enum4linux 192.168.3.105
这条命令会自动收集收集目标系统的大量信息,如用户名列表、主机列表、共享列表、密码策略信息、工作组和成员信息、主机信息、打印机信息等等
得知有三个用户sagar,blackjax,smb

挨个尝试看哪个可以读取共享目录
得知smb用户具有查看权限
读取共享文件
smbclient登录

挨个目录看,啥都没有。。。
陷入僵局。。。再次偷瞄wp,得知还有个smb的隐藏目录(可能是通过上图中.和..的猜测?)
登录成功,目录下存在两个文件

下载两个文件查看,其中一个zip需要密码
john爆破

解压得到图片和数据包

wireshark打开,都是802.11的包,也就是无线局域网

看看有没啥信息
广播信息里包含了WLAN的名称:blackjax,嗯,和刚才得到的用户名中的一个一致

爆破匹配wlan密码
利用aircrack-ng工具,可以对wlan数据包进行密码匹配

那么现在已知wlan名称:blackjax 密码:snowflake
尝试ssh连接

成功登录并得到第一个flag

提权
查看root权限文件

ping命令好像可以提权

无奈第三步就死了
注意到还有个netscan,显示的是端口使用情况等信息
追踪命令执行过程

发现其实就是system执行了netstat命令,这种情况在之前的练习已经写到过,可以做劫持
system执行的是netstat,netstat是在/bin目录下,system读取的其实就是env中的PATH,因此我们只要将PATH修改成我们的路径,再构造相应的文件名和命令,就可以实现恶意劫持
构造文件
$ cd /tmp
$ touch netstat;echo '/bin/bash/' >> netstat
$ cat netstat
/bin/bash/
$ chmod 755 netstat
修改环境变量使得指向/tmp

执行

光速打脸,好吧没有bash,仔细看下之后sh,那么改下就成

成功提权,得到第二个flag,完成