BILLY MADISON 1.1
https://download.vulnhub.com/billymadison/BillyMadison1dot1.zip
靶场IP:192.168.32.170
扫描对外端口
测试smb
建立共享EricsSecretStuff目录
查看ebd.txt文件
访问23端口
哈哈哈!你被禁止了一段时间,比利男孩!顺便说一句,我发现你试图破解我的无线网络 - 但笑话在你身上!我不再使用像 rkfpuzrahngvat 这样的 ROTten 密码了!麦迪逊酒店和我的一样好!!!!
根据提示,rkfpuzrahngvat是ROTten加密
访问80端口
后缀加上exschmenuating
根据提示
找到veronica单词的文件名,需要爆破
数据包链接:
分析数据包有几封邮件
邮件中发现:https://www.youtube.com/watch?v=z5YU7JwVy7s 默认情况下FTP是关闭的,需要旁敲端口将其激活,通过查看Youtube视频,得到了端口敲门顺序:1466 67 1469 1514 1981 1986
另外两种端口敲门方式
使用邮件的账号密码登录FTP服务器
继续……所以显然目标上有一个后门。我们可以通过发送带有特定短语的电子邮件来启用后门。观看链接的 YouTube 视频后,我认为这句话是My kid will be a soccer player. 我发送一封电子邮件,其中包含使用swaks.
又或者这样
然后我执行另一次nmap扫描。果然,我们发现一个新的端口打开了。
现在我需要密码。回到之前的电子邮件线索,我记得 Veronica "Rocks",而且她可能在密码中使用了她的名字。有了这些信息,我从 rockyou 创建了一个包含单词"veronica"的单词表。
登录FTP服务器
可能你使用的传输模式是ASCII,这个模式只能用于传输文字文件。
可以尝试切换成二进制模式获取文件试一下。
在我使用get命令获取zip文件时发现了这个问题总是缺少几k从而倒是压缩包不完整解压失败,使用bin模式就好起来了。
查看邮件信息
该电子邮件为我们提供了有关数据包捕获和 ssh 密码的线索,数据包捕获包含破解 WPA/WPA2 密码所需的 4 次握手。这可以通过 aircrack-ng 或 hashcat 来完成。
aircrack-ng爆破密码
hashcat爆破
找到密码是triscuit*,登录SSH
让我们看看我们在eric's主目录中有什么可用的。
我检查了两张图片,但没有任何有趣的东西出来。
是时候尝试提升了。
经过一番挖掘,并根据之前的发现,它看起来eric最初使用了许多漏洞利用之一来提升到root. 这些漏洞似乎都不再起作用,但是suid发现了一个有趣的文件。
如果我们提供两个路径,则会在第二个路径创建一个文件,该路径可由eric. 我们可以在_任何_位置创建文件,如下所示。
我试图通过创建一个cron.hourly条目来利用这一点,该条目会将eric用户添加为sudoer.
现在,我等一个小时左右后,我检查一下是否可以sudo。
最后更新于