出品|MS08067实验室(www.)
Kali: 10.10.14.213 先用nmap探测靶机
扫描结果如下: 看看80端口有什么东西 我们用gobuster进行探测下
扫了很久没有扫出什么东西 后来注意到这句话 尝试在Url后面加上/sparklay
我们打开login.php 打开下admin.php 尝试过绕过以及常见帐户密码
我们在打开design 是Forbidden,那么这个目录下我们在gobuster下
打开upload.php 打开design.html看看 点【Change Logo】 我们写一个反弹的shell进行上传
被拒绝上传了 我们来FUZZ下运行上传的后缀名看看能不能通过后缀名进行绕过 这里我用burp的intruder模块进行fuzz 发现php5是上传成功的,我们把shell改成shell.php5再次上传 然后我们kali 开启监听1337端口 我们在访问 发现有2个用户 我在dave的Desktop目录下面看到一个ssh文件 Cat下得到一下内容 dave:Dav3therav3123 那么我们通过ssh连接到靶机上 我们在看看dave桌面上的其他文件 第一个key还不知道是什么意思就先留着。 我们可以看到192.168.122.4开放了22和80端口。由于是内网的环境我们是无法访问到192.168.122.4的,所以我们需要做一个隧道把192.168.122.4的80端口映射到我们本地的1234端口
点击【Click here to modify your DNS Settings】 发现是Not Found 打开后是一个VPN配置信息,并允许我们测试我们的VPN 这里我找一遍关于如何用ovpn配置文件反弹shell的教程 我们找下靶机的内网IP地址 让靶机监听9002端口
先点【Update file】然后再点【Test VPN】 就会得到一个shell 得到userflag 接下来是获取root flag 我们在dave的目录里面找到一个ssh凭借 dave:dav3gerous567 我们直接通过ssh连接DNS服务器 我们尝试sudo -i切换为root, 但是目录里面没有我们想要的rootflag 之前我们注意到在dave的机器上有三台服务器,但是最后的The vault 是没有给出IP地址的,root flag可能就在那台机器上,所以我们需要去找线索 我们在DNS的hosts文件中找到了The vault的IP地址 但是DNS服务器是无法ping通的 但是DNS确实存在192.168.5.2的路由,猜测应该是禁止ping 后来发现DNS存在nmap 我们用nmap来进行端口探测 发现2个端口都被closed,可能是真的关闭,但是也有可能是防火墙的原因 我们尝试使用nmap 的 –source-port参数 每个TCP数据包带有源端口号。默认情况下Nmap会随机选择一个可用的传出源端口来探测目标。该–source-port选项将强制Nmap使用指定的端口作为源端口。这种技术是利用了防火墙盲目地接受基于特定端口号的传入流量的弱点。端口21(FTP),端口53(DNS)和67(DHCP)是这种扫描类型的常见端口。 发现一个987端口,我们用nc从本地的53端口进行连接 是openssh服务 对于这种防火墙我们可以尝试使用IPV6的规则绕过 先查看DNS服务器是否支持IPV6 FF02::1指所有开启了IPv6组播的主机,和IGMP中的224.0.0.1对应 我们在查找下DNS服务器的的邻居 再看下DNS的路由和ip信息 我们可以看到192.168.5.0/24的流量都要通过ens3到192.168.122.5去 在192.168.155.5是防火墙的地址 我们在看DNS的邻居,发现还有3条IPV6,说明vault的IPV6应该在里面 192.168.122.5对应的ipv6是fe80::5054:ff:fe3a:3bd5 下面这2条ipv6的地址就是 valut和firewall的 fe80::5054:ff:fec6:7066 我们直接用nmap进行端口扫描,如果防火墙没有配置ipv6的规则的话如是valut的地址就会出现之前的987端口 这样我们就确定了fe80::5054:ff:fec6:7066是vault的IPV6地址,并且防火墙规则并没有阻拦ipv6的地址,同时我们的DNS服务器可以直接通过ipv6绕过防火墙跟vault进行通讯 那么我们直接ssh进行连接 密码跟之前的一样:dav3gerous567 我们可以看到这个pgp的ID为D1EB1F03 我们看下vault系统是否存在密钥,不存在 但是我们在dave@ubuntu上找到了 所以我们需要把文件发送到dave@ubuntu进行解密 我们退回到dave@DNS上,利用scp将文件拷贝出来
输入密码:dav3gerous567 然后我们需要在把这个文件传送到dave@ubuntu上面 然后在DNS上把文件传输过来 这样文件就到了Ubuntu上面了 我们用md5sum来校验下文件的完整性 文件正常传输的 我们用gpg 解密下root.txt.gpg 要求我们输入密码 密码就是我们之前找到的key 得到root flag 转载请联系作者并注明出处! Ms08067安全实验室专注于网络安全知识的普及和培训。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,《Python安全攻防:渗透测试实战指南》,《Java代码安全审计(入门篇)》等书籍。
|
|