基础信息

前言

本次靶机使用的VMware Workstation Pro进行搭建运行，将kali与靶机一样使用桥接模式。本次演练使用kali系统按照渗透测试的过程进行操作，从信息收集到提权只需要按部就班就可以了，难点在于取证，因为是之一次接触需要取证的靶机没有思路，看了大佬的操作之后，自己进行复现也有所收获。

一、信息收集

1. 靶机ip

使用nmap进行扫描，得到ip地址：192.168.1.106

2.靶机端口与服务

3.网站信息收集

访问192.168.1.106
使用dirb爬取网站链接
没有发现可利用的信息

二、漏洞探测与漏洞利用

1.ftp匿名访问

查看之前扫描端口的详细信息
得知可以直接匿名登录ftp
用户：ftp 密码：无（直接回车）

发现存在两个文件使用wget命令将文件下载到kali中

进入目录查看下载文件，通过README.txt提示知道这个压缩包中保存的是密码文件

通过fcrackzip进行爆破

成功爆破
密码：seahorse!

2.ssh远程登录

解压之后获得密码，尝试ssh远程登录，用户名Henry、Michael都不对，查看靶机描述，发现可疑用户名squiddie
进行尝试，登录成功

用户：squiddie
密码：Squ1d4r3Th3B3$t0fTh3W0rLd

三、提权

1.升级成交互式shell

但是对squiddie的权限限制较大不能直接使用该命令升级，只能一步一步进行操作

2.find提权

使用sudo -l 查看该用户可使用的命令

直接使用find命令进行提权

四、证据收集

1、user.txt

在路径、home/squiddie/Desktop下发现use.txt
查看文件是一串md5密文

解密：2004737969

2、root.txt

在/home/microsystems/Desktop目录下发现root.txt

3、proof.txt

在/root/Desktop中发现note.txt和proof.txt

解密得到：836934778

4、系统定时任务

每隔两分钟执行一次/etc/cron.daily/backup文件脚本。参考
查看文件脚本，仅root权限可以执行
文件从/root/Documents/.docs向/var/backups/.docs备份

查看/var/backups/.docs目录，存在很多表格

将文件拷贝到ftp的目录下下载到kali中

在Password_keeper文件夹下发现用来查看密码的小程序，发现查看密码也需要输入密码

表格密码 密文

usage.txt使用说明

要想破解表格密码，需要得到小程序的输入密码，需要将程序反编译，并分析代码
这个程序是用pyinstaller编译的，可以使用pyinstall进行反编译

5、反编译Pyinstall打包的exe

（1）反编译工具：https://github.com/extremecoders-re/pyinstxtractor

执行过命令之后会在pyinstxtractor.py同目录下生成一个文件夹

现在的pyc文件还不是源代码，需要继续反编译
（2）反编译pyc文件
链接：https://tool.lu/pyc/

分析源代码

（6）分析代码，得到密码
在运行exe文件时，输入1是查询密码，输入1后会调用show_keys()函数

当输入的密码值正确时if条件成立，显示表格密码
输入的密码是base64(key)

运行.exe查看密码

（7）取证
Accountabilty_not_cooked

AccountabiltyReportMorning-1112018

MoneyBalance

Pending_to_erase

总结

一开始的渗透到提权都是思路清晰，因为之前没有接触过取证在取证的时候不懂，参考了大佬的做法自己复现一遍，加深了印象

参考

https://www.freebuf.com/articles/web/261787.html