(一)信息收集
开启靶机,kali成功查询到靶机ip
arp-scan -l
我们访问一下靶机ip 192.168.241.136,没有什么有用的信息,我们开始尝试其他方法
先dirsearsh扫一下看看有没有敏感目录,没有发现有用的信息。
dirsearch -u 192.168.241.136
再用nmap跑一下,看看有没有敏感的端口开放。
nmap -A -T4 192.168.241.136
发现开放了这几个端口。
我们先访问一下这几个端口,发现只得到了一个登录界面。
随后好像没有什么信息了,点了好久发现主页(不加端口号的)源代码里面有一串密文,这个密文前面遇到过brainfuck编码,直接解码一下。
在线工具:https://www.splitbrain.org/services/ook
(注:这里访问初始界面为http://但访问端口界面就是https://)
明文如下,盲猜应该是个密码,对应刚才发现的登录界面,那我们的用户名呢。
然后我就没有头绪了,网上搜了发现目标服务器装了Samba,因此尝试用enum4linux工具枚举获得用户名(也是第一次遇到,赶紧记在小本本上),那他既然都这样说了,那就赶紧用喽。
enum4linux -r 192.168.241.136
发现用户cyber。
(二)开始渗透
结合前面所得到的用户名和密码进行登录
用户名:cyber
密码:.2uqPEfj3D<P'a-3
点来点去发现下方有一个命令交互按钮
可以直接执行命令,我们开始搜寻一下,在home目录下有一个tar 可执行文件,通过getcap命令发现它有cap_dac_read_search=ep,因此它可以读取任意文件(利用该tar 打包再解压就可以查看没有权限查看的文件内容)。(这里提权为参考,原作者:https://www.cnblogs.com/C0ngvv/p/15605368.html)
file tar
getcap tar
这里发现在/var/backups下的.old_pass.bak文件需要root权限,那就说明我们提权之后的目标就在里面。
可以利用home目录下的tar 来读取它,最后得到root密码
cd
./tar -cvf pass.tar /var/backups/.old_pass.bak
tar -xvf pass.tar
cat var/backups/.old_pass.bak
我们登录root获取权限,得到falg
(三)靶场总结
1.Samba服务器,要尝试用enum4linux工具枚举。
2.利用该tar 打包再解压就可以查看没有权限查看的文件内容。