投稿
  1. 极客之音首页
  2. 后端漫谈

HACKNOS_ OS-BYTESEC

飞熊 后端漫谈 阅读 195

有目标就不怕路远。年轻人.无论你现在身在何方.重要的是你将要向何处去。只有明确的目标才能助你成功。没有目标的航船.任何方向的风对他来说都是逆风。因此,再遥远的旅程,只要有目标.就不怕路远。没有目标,哪来的劲头?一车尔尼雷夫斯基

导读:本篇文章讲解 HACKNOS_ OS-BYTESEC,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com,来源:原文

目录

介绍

难度:中级
Flag : 2 Flag first user And second root
Learning : exploit | SMB | Enumration | Stenography | Privilege Escalation
靶机地址:https://www.vulnhub.com/entry/hacknos-os-bytesec,393/

信息收集

主机发现

发现目标:nmap -sn 192.168.124.0/24
看到 Oracle VirtualBox 得知 192.168.124.23 是目标地址
在这里插入图片描述

.信息探测:nmap -A -p- 192.168.124.23
可以看出,只有三个端口是开放端口:80,139,445,2525(SSH)

┌──(root💀kali)-[~]
└─# nmap -A -p- 192.168.124.23
Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-08 21:23 EST
Nmap scan report for localhost (192.168.124.23)
Host is up (0.00047s latency).
Not shown: 65531 closed tcp ports (reset)
PORT     STATE SERVICE     VERSION
80/tcp   open  http        Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Hacker_James
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
2525/tcp open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 12:55:4f:1e:e9:7e:ea:87:69:90:1c:1f:b0:63:3f:f3 (RSA)
|   256 a6:70:f1:0e:df:4e:73:7d:71:42:d6:44:f1:2f:24:d2 (ECDSA)
|_  256 f0:f8:fd:24:65:07:34:c2:d4:9a:1f:c0:b8:2e:d8:3a (ED25519)
MAC Address: 08:00:27:43:E8:EE (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Host: NITIN; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: -1h49m56s, deviation: 3h10m30s, median: 2s
| smb2-time:
|   date: 2022-01-09T02:24:05
|_  start_date: N/A
| smb2-security-mode:
|   3.1.1:
|_    Message signing enabled but not required
|_nbstat: NetBIOS name: NITIN, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb-os-discovery:
|   OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
|   Computer name: nitin
|   NetBIOS computer name: NITIN\x00
|   Domain name: 168.1.7
|   FQDN: nitin.168.1.7
|_  System time: 2022-01-09T07:54:05+05:30

TRACEROUTE
HOP RTT     ADDRESS
1   0.47 ms localhost (192.168.124.23)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.10 seconds

网站探测

网站长这样
在这里插入图片描述

在网站的最下面提示我们,要用smb来攻击它
在这里插入图片描述

目录扫描

先来扫一波目录呢?访问了一下,没啥用,还是回过头来看看smb怎么搞。

dirb http://192.168.124.23/

在这里插入图片描述

使用nmap漏扫 smb 服务

为了防止把系统扫崩溃,这里使用–script-args=unsafe=1控制一下。但是没有扫描处什么有价值的信息。

nmap -v -p139,445 –script=smb-vuln-*.nse  –script-args=unsafe=1 192.168.124.23

在这里插入图片描述

SMBMap枚举Samba共享驱动器

SMBMap 允许用户枚举整个域中的 Samba 共享驱动器。列出共享驱动器、驱动器权限、共享内容、上传/下载功能、文件名自动下载模式匹配,甚至执行远程命令。此工具在设计时考虑了渗透测试,旨在简化在大型网络中搜索潜在敏感数据的过程。

参见:
https://github.com/ShawnDEvans/smbmap
https://www.kali.org/tools/smbmap/
https://blog.csdn.net/qq_40399982/article/details/113073036

smbmap -H 192.168.124.23,发现可以匿名访问,但是没有权限
在这里插入图片描述

试试枚举我的物理主机呢?如下图
在这里插入图片描述

enum4linux枚举Samba

enum4linux可以收集 Windows 系统的大量信息,如用户名列表、主机列表、共享列表、密码策略信息、工作组和成员信息、主机信息、打印机信息等等。
参见:https://blog.csdn.net/qq_40399982/article/details/112902188

smbmap没测出多少东西,换用enum4linux再试试。不加参数直接测的话,它会做全面扫描,速度也挺快的,就直接扫吧。

enum4linux 192.168.124.23

在这里插入图片描述

在这里插入图片描述

枚举出3个SMB用户:Sagar,blackjax,smb,可以试试能不能使用这些账号登录站点。测试发现smb用户可以匿名访问站点。
在这里插入图片描述

smbclient访问samba服务器

smbclient命令属于samba套件,它提供一种命令行使用交互式方式访问samba服务器的共享资源。

  1. 直接列举服务器-失败

无论是直接列举还是使用用户列举,使用空密码都失败了,没啥有用信息。考虑会不会服务器上的资源是隐藏的
在这里插入图片描述

  1. 访问隐藏目录

smbclient //192.168.124.23/ -U smb:无报错,说明存在隐藏目录
经过测试,发现隐藏目录是 //192.168.1.40/smb,并且可以使用help命令。
在这里插入图片描述

  1. 获取文件

使用dir列出服务器中存在两个文件,使用get将其下载下来。发现txt文件没啥用,可能有用的压缩包需要爆破密码。
在这里插入图片描述

预览压缩包,发现里面有一个图片和一个压缩包
在这里插入图片描述

爆破压缩包

根据 BUUCTF之MISC 的描述,fcrakzip只支持zip格式,rarcrak可以支持zip,rar,7z这三种格式。

使用fcrakzip来爆破ZIP压缩包。

  1. 安装工具:sudo apt-get install fcrackzip
  2. 准备字典,解压rockyou:gzip -d /usr/share/wordlists/rockyou.txt.gz
  3. 爆破:fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip
  4. 得到压缩包密码:hacker1

在这里插入图片描述

查看压缩包

  1. 查看图片:xdg-open secret.jpg(xdg-open:使用默认的工具打开文件)

图片上写着“在罢工之后”
在这里插入图片描述

  1. 查看图片exif信息:exiftool secret.jpg,没发现什么特别的地方。

在这里插入图片描述

  1. 查看数据包

发现全都是802.11协议的,使用 aircrack-ng 破解 user.cap 文件,看看网络名称,网络密码啥的。得到网络名称:blackjax,网络密码:snowflake

aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap

在这里插入图片描述

连接靶机

已知靶机存在3个SMB用户:Sagar,blackjax,smb。
现在破解出一个得wifi的网络名称:blackjax,网络密码:snowflake。
此时,80端口告诉我们要搞SMB,现在SMB搞完了,只剩下2525端口的SSH了,虽然有点牵强附会,但此时只能猜测能连接SSH的一个账密就是:blackjax、snowflake。试一下吧:ssh blackjax@192.168.124.23 -p 2525

第一个Flag

在这里插入图片描述

SUID特权-第二个Flag

第一个Flag找到了,找第二个需要提权一下,先试试最简单的SUID提权

  1. 先搞个bash:bash
  2. 查找根目录下所有带用suid属性的文件:find / -type f -perm -u=s 2>/dev/null

在这里插入图片描述

接下来的操作就比较固定了。
在这里插入图片描述

参考

OS-Bytesec walkthrough
[原创]靶机系列测试教程 Os-ByteSec
最新kali之smbmap
最新kali之enum4linux
Linux 网络通讯 : smbclient 命令详解
BUUCTF之MISC

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134261.html

(0)
飞熊的头像飞熊bm
0 0

相关推荐

发表回复

登录后才能评论
极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!