skyler實戰滲透筆記：

筆記是為了記錄實戰滲透學習過程，分享滲透過程思路與方法。

請注意：

對於所有筆記中復現的終端或伺服器，都是自行搭建環境或已獲授權滲透的。使用的技術僅用於學習教育目的，如果列出的技術用於其他任何目標，我概不負責。

0x00 前言

0x01 資訊收集

0x02 滲透get shell

0x03 提權

0x00 前言

我建立這臺機器是為了幫助其他人學習一些基本的CTF黑客策略和一些工具。我把這臺機器的難度和我在OSCP上弄壞的機器差不多。

這是一臺從引導到根的機器，不需要任何客戶互動。

有兩種專為特權升級設計的方法。

0x01 資訊收集

老規矩，先找目標

埠掃描：

奇怪，只有一個22的ssh埠，那麼先訪問一下：

試了幾次通用密碼都不對，應該不是要爆破，看到banner資訊Easy as 1,2,3,；那麼猜測應該是要通過埠碰撞來開啟真正的埠：

（埠碰撞是一種通過在一組預先指定的關閉埠上產生連線請求，從外部開啟防火牆上的埠的方法。一旦收到正確的連線請求序列，防火牆規則就會被動態修改，以允許傳送連線請求的主機通過特定埠進行連線。

埠碰撞的主要目的是防止攻擊者通過進行埠掃描來掃描系統中潛在的可利用服務，因為除非攻擊者傳送正確的碰撞序列，否則受保護的埠將顯示為關閉。）

首先通過nmap進行指定埠的碰撞：

命令：hping3 -S 192.168.182.146 -p 1 -c 1

通過ping衝撞之後，防火牆規則會修改，重新掃描一次試試

然後重新掃描：

OK，發現1337埠提供的httd服務。

0x02 滲透get shell

使用kali直接訪問這個地址，這裡注意一定要用碰撞的機器來訪問，其他機器訪問埠還是被隱藏的：

看了下就一張圖片，下載下來也沒有發現什麼特別的內容，看圖片的意思，把ring放進了mordor，那就訪問下mordor試試:

訪問發現原始碼中包含了一個編碼的字串，base64解碼：

發現又是一個base64，繼續解碼：

找到了後臺登入的地址：

這邊嘗試了下爆破，沒成功。既然是個post表單，那就用sqlmap掃下試試吧：

先用burpsuite把請求抓下來

儲存檔案，然後直接sqlmap -r login.txt

發現存在盲注，開搞！

先看看當前用的資料庫 sqlmap -r login --current-db --batch

看一下有哪些資料庫表：sqlmap -r login -D Webapp --tables --batch

只有一個users，那麼匯出一下這個user表

看起來是使用者名稱和密碼，那麼匯出一下表的資料看看：

sqlmap -r login -D Webapp -T Users -D Webapp -T Users -C id,username,password --dump --batch

OK，搞到了這一堆使用者名稱和密碼，試試看能不能進去：

把使用者名稱和密碼分別儲存到兩個檔案中，然後用hydra爆破一下：

ok，搞到了一個使用者名稱和密碼，登入試試：

ssh [email protected]

成功！

0x03 提權

先看下系統版本：

在expliot-db中找一下對應的漏洞：

找到一個本地許可權提升的漏洞39166.c，試一下：

編譯並開啟伺服器，在靶機ssh上下載

OK，搞定，檢視flag資訊：

看簡介裡有兩種提權方法，然後發現mysql以root身份執行，同時檢查資料庫版本是5.5.44…

命令：mysql --version

然後再exploit中看看有哪些可以利用的資料庫：

將1518.c的shell上傳到smeagol使用者下，參考1518.c指令碼內容進行輸入命令，製作反彈shell

然後需要在資料查詢到mysql的root密碼，一般資料庫的登入名和密碼都會配置在web伺服器目錄下的配置檔案或指令碼檔案裡，找到login.php：

找到root的登入密碼darkshadow（這是資料庫的登入…）

繼續參考shell命令進行滲透提權

最後 ! sh執行完就獲得了root許可權！！