Tr0ll: 3来自 <Tr0ll: 3 ~ VulnHub>
1,将两台虚拟机网络连接都改为NAT模式
2,攻击机上做namp局域网扫描发现靶机
nmap -sn 192.168.23.0/24
那么攻击机IP为192.168.23.182,靶场IP192.168.23.187
3,对靶机进行端口服务探测
nmap -sV -T4 -p- -A 192.168.23.187
SSH服务(22/tcp)
- 版本:OpenSSH 7.6p1
- 关联漏洞:
- 该版本存在历史漏洞(如CVE-2019-6111),但可能已修复。
- Ubuntu 18.04于2023年结束官方支持,可能存在未修补的漏洞。
- 安全建议:
- 检查SSH配置:
- 运行 nmap --script ssh2-enum-algos -p22 192.168.23.187 查看支持的加密算法(如是否使用弱算法)。
- 使用工具 ssh-audit 全面评估SSH安全性。
- 认证方式:
- 检查是否允许密码登录(PasswordAuthentication),若允许,尝试弱密码或字典攻击(需合法授权)。
- 检查是否使用默认密钥(公钥指纹在结果中已公开)。
- 版本升级:
- 建议升级到OpenSSH 8.9+以修复已知漏洞。
- 检查SSH配置:
4,靶场直接告诉了账户/密码:start/here
使用ssh直接登录进去,
然后进行信息收集
id
uname -a
ls /home
5, 尝试查找能用于提权的可执行二进制文件
find / -type f -perm 0777 2>/dev/null
查找到一个流量包文件,scp拷贝该文件到kali攻击机上
scp start@192.168.23.187:/var/log/.dist-manage/wytshadow.cap /root
还有那个藏得很深的txt文件
scp start@192.168.23.187:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt /root
Scp工具使用
scp(Secure Copy Protocol)是用于通过 SSH 协议在本地和远程主机之间安全传输文件的命令行工具。以下是其核心用法和注意事项:
1. 基础语法
scp [选项] 源文件 目标路径
2. 常见场景
本地 → 远程
scp /本地/文件.txt user@remote_ip:/远程/目录/
# 示例:
scp backup.tar.gz admin@192.168.23.187:/var/backups/
远程 → 本地
scp user@remote_ip:/远程/文件.txt /本地/目录/
# 示例:
scp admin@192.168.23.187:/etc/passwd ~/Downloads/
远程 → 远程
scp user1@remote1_ip:/路径/file user2@remote2_ip:/路径/
3. 常用选项
| 选项 | 说明 |
| -P 端口 | 指定 SSH 端口(默认22) |
| -r | 递归复制目录 |
| -C | 启用压缩(大文件优化) |
| -i 密钥文件 | 使用指定私钥认证 |
| -v | 显示详细传输日志(调试用) |
4. 典型用法示例
指定端口和密钥
scp -P 2222 -i ~/.ssh/id_rsa data.csv user@192.168.23.187:/home/user/
递归复制目录
scp -r /本地/项目文件夹/ user@192.168.23.187:/opt/
限速传输(单位:KB/s)
scp -l 800 largefile.iso user@192.168.23.187:~/
5. 渗透测试中的应用
- 窃取敏感文件(需合法授权):
scp admin@192.168.23.187:/etc/shadow ./stolen_shadow - 上传后门工具:
scp reverse_shell.py user@192.168.23.187:/tmp/ - 绕过基础监控:
- 使用非标准端口(-P)或混杂在正常流量中。
6. 安全注意事项
- 密钥保护:
- 私钥文件权限应设为 600:
chmod 600 ~/.ssh/id_rsa
- 私钥文件权限应设为 600:
- 审计历史记录:
- 检查远程主机的 ~/.bash_history 是否记录 scp 命令。
- 替代方案:
- 优先使用 sftp 或 rsync(支持断点续传和增量同步)。
7. 故障排查
- 权限拒绝:确保目标目录可写(chmod +w /目标路径)
- 连接超时:检查防火墙是否放行 SSH 端口
- Host key验证失败:使用 -o StrictHostKeyChecking=no 跳过验证(不安全,仅测试环境)
6,然后使用wireshark打开这个cap文件
这些协议和WLAN有关,另一个txt文件就是用于爆破这个密码的字典
aircrack-ng -w gold_star.txt wytshadow.cap
暴力破解攻击,得到wifi密钥:gaUoCe34t1
技术参考:近源渗透——WiFi渗透 - FreeBuf网络安全行业门户
802.11协议和kali无线攻击
一、802.11协议基础
1. 协议概述
802.11是IEEE定义的无线局域网(WLAN)标准,涵盖物理层和数据链路层。主要子协议包括:
- 802.11a/b/g/n/ac/ax:
- 802.11a/b/g:早期标准,分别支持5GHz/54Mbps、2.4GHz/11Mbps、2.4GHz/54Mbps12。
- 802.11n:引入MIMO技术,支持双频(2.4GHz和5GHz),最大速率600Mbps12。
- 802.11ac/ax:现代标准,支持更高带宽(如160MHz信道)和MU-MIMO,速率可达数Gbps12。
2. 核心概念
- SSID:无线网络名称,用于标识网络。
- BSSID:AP的MAC地址,唯一标识一个基本服务集(BSS)12。
- 信道(Channel):无线频段的子划分,如2.4GHz频段有14个信道(不同国家开放数量不同)12。
- 加密协议:WEP(已淘汰)、WPA/WPA2(PSK/Enterprise)、WPA311。
3. 无线网络模式
- 基础结构模式(Infrastructure):通过AP连接客户端,需关联(Associate)后通信12。
- Ad-hoc模式:无中心节点,设备直连,安全性低12。
二、无线流量分析
1. 流量捕获工具
- Wireshark:图形化协议分析工具,支持深度解析802.11帧结构,可过滤特定协议(如HTTP、TCP)14。
- tcpdump:命令行抓包工具,适合批量捕获数据包(如tcpdump -i wlan0 -w capture.pcap)14。
- Airodump-ng:专用于无线网络的嗅探工具,可捕获握手包(如WPA四次握手)23。
2. 分析要点
- 握手包捕获:针对WPA/WPA2需捕获四次握手(EAPOL帧),用于后续密码破解38。
- 协议漏洞检测:如检测WEP的弱IV(初始化向量)、WPS的PIN漏洞110。
- 异常流量识别:如Deauth泛洪攻击(大量解除认证帧)、ARP欺骗流量89。
三、Kali无线网络攻击技术
1. 攻击分类与工具
(1) WEP破解
- 工具:Aircrack-ng套件(Airodump-ng捕获流量,Aireplay-ng注入ARP包加速数据生成,Aircrack-ng破解)210。
- 原理:利用WEP的弱密钥生成机制和IV重复漏洞,通过统计攻击恢复密钥211。
(2) WPA/WPA2-PSK攻击
- 工具:Aircrack-ng、Hashcat(GPU加速)、Pyrit(预计算PMK)310。
- 流程:
- 捕获四次握手包(需触发客户端重连,如Deauth攻击)38。
- 使用字典或暴力破解PSK(如aircrack-ng -w rockyou.txt capture.cap)310。
(3) WPS攻击
- 工具:Reaver(在线PIN破解)、Pixiewps(离线攻击路由器的PRNG漏洞)110。
- 适用场景:目标AP启用WPS且支持PIN模式,破解时间取决于信号强度和PIN复杂度18。
(4) 中间人攻击(MITM)
- 工具:Airbase-ng(创建伪造AP)、Ettercap(ARP欺骗)、Fern Wifi Cracker(自动化GUI工具)18。
- 步骤:
- 伪造同名AP(ESSID克隆)吸引客户端连接。
- 劫持流量并窃取敏感信息(如HTTP凭据)911。
(5) 隐蔽攻击
- MAC地址欺骗:使用Macchanger修改本机MAC地址绕过过滤(macchanger -r wlan0)18。
- SSID隐藏绕过:通过Deauth攻击强制客户端重连以暴露SSID812。
2. 高级攻击场景
- 热点钓鱼(Evil Twin):结合DNS劫持和SSL剥离,诱导用户登录恶意页面911。
- 客户端渗透:通过恶意热点分发Payload(如Metasploit的Meterpreter),控制客户端后横向移动至内网9。
四、防御与缓解措施
- 加密升级:禁用WEP/WPA,强制使用WPA3或WPA2-Enterprise(802.1X认证)1112。
- 关闭WPS:避免PIN漏洞被利用110。
- MAC过滤与端口隔离:限制未授权设备接入,隔离客户端间通信811。
- 入侵检测系统(IDS):部署工具如Kismet监控异常流量(如Deauth风暴)812。
- 物理层防护:控制AP信号覆盖范围,减少外部嗅探可能11。
五、工具与资源推荐
- Kali内置工具:Aircrack-ng、Reaver、Wifite(自动化脚本)、Wireshark110。
- 密码字典生成:Crunch(自定义规则)、CUPP(基于用户信息生成)13。
- 学习资料:《Kali Linux无线网络渗透测试详解》(清华大学出版社)6。
8,通过近源渗透就成功拿到了目标服务器一个用户的密码,结合之前信息收集发现的用户名可以知道这是wytshadow的密码gaUoCe34t1,使用ssh进行登录(第二个受害者)
登录成功
9,做信息收集,在家目录下发现一个可执行文件
这个 file 命令的输出表明 oohfun 是一个 64-bit ELF 可执行文件,并且具有 setuid 标志,意味着它可能会以文件所有者的权限运行,而不是执行它的用户的权限。执行之后就会疯狂的弹窗
lynx 是一个基于终端的文本模式网页浏览器,用于在 Linux、Unix 及 Windows(Cygwin)环境下访问网页。
- 不支持 JavaScript 和 CSS,适用于低带宽环境或测试网页的无障碍访问性。
- 你可以用 lynx URL 直接打开网页,例如:
lynx Example Domain
10,查看一下具有什么sudo权限
可以看到运行这个用户以root权限启动ngnix服务,那就启动之
sudo /usr/sbin/service nginx start
systemctl status nginx.service
11,使用浏览器访问一下,访问失败。那就说明服务端口可能不是80,使用nmap扫一下工作端口
再访问8080端口试试
403状态码意为服务器成功解析请求但是客户端没有访问该资源的权限
12,查看nginx的配置文件看看是什么原因
在配置文件里面发现日志文件的路径,那么我们可以查看error信息,里面应该记载了为什么拒绝我们访问的操作
没有权限就尴尬了
13,在sites-available知道了原因
原来是规定了只允许Lynx浏览器访问,但是kali没有安装包
14,解决方法很简单。靶机的8080端口是使用nginx通过user-agent来判断来源的,而这个user-agent可以使用burpsuite进行更改。挂上代理,访问网站,抓包发送到repeater模块
需要将user-Agent改成Lynx好欺骗服务器
由此服务器就傻傻的告诉我们下一个用户的账户和密码:genphlux/HF9nd0cR!(第三个受害者)
15,使用ssh服务登录genphlux
信息收集一下,发现一个名为maleus用户的文件,原来是一个RSA私钥
将这个私钥复制到本地将权限改为600,再使用ssh服务直接连接上(第四个受害者)
scp genphlux@192.168.23.187:/home/genphlux/maleus /root
mv maleus id_rsa.tr
chmod 600 id_rsa.tr
ssh -i id_rsa.tr 192.168.23.187 -l maleus
16,文件下发现并查看viminfo信息,该文件记录了VIM输入的一下信息,存在严重的信息泄露发现。由此发现账户maleus的密码B^slc8I$
17,现在条件好了允许我进行提权操作了,查看一下sudo命令覆盖的文件范围
这是一个可执行文件,允许我们通过sudo命令执行。这是提权成为root用户的关键
18,尝试复制此文件到一个新的文件名称为dont_even_bother.c 在此文件使用vim写入提权代码
| int main (void){ |
cp dont_even_bother dont_even_bother.c
vim dont_even_bother.c
gcc dont_even_bother.c -o dont_even_bother
sudo ./dont_even_bother
成功提权成为root用户,cat到flag
