横向移动靶场-Tr0ll: 3

Tr0ll: 3来自 <Tr0ll: 3 ~ VulnHub>

1，将两台虚拟机网络连接都改为NAT模式

2，攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.182，靶场IP192.168.23.187

3，对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.187

SSH服务（22/tcp）

• 版本：OpenSSH 7.6p1
• 关联漏洞：
  • 该版本存在历史漏洞（如CVE-2019-6111），但可能已修复。
  • Ubuntu 18.04于2023年结束官方支持，可能存在未修补的漏洞。
• 安全建议：
  1. 检查SSH配置：
     • 运行 nmap --script ssh2-enum-algos -p22 192.168.23.187 查看支持的加密算法（如是否使用弱算法）。
     • 使用工具 ssh-audit 全面评估SSH安全性。
  2. 认证方式：
     • 检查是否允许密码登录（PasswordAuthentication），若允许，尝试弱密码或字典攻击（需合法授权）。
     • 检查是否使用默认密钥（公钥指纹在结果中已公开）。
  3. 版本升级：
     • 建议升级到OpenSSH 8.9+以修复已知漏洞。

4，靶场直接告诉了账户/密码：start/here

使用ssh直接登录进去，

然后进行信息收集

id

uname -a

ls /home

5， 尝试查找能用于提权的可执行二进制文件

find / -type f -perm 0777 2>/dev/null

查找到一个流量包文件，scp拷贝该文件到kali攻击机上

scp start@192.168.23.187:/var/log/.dist-manage/wytshadow.cap /root

还有那个藏得很深的txt文件

scp start@192.168.23.187:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt /root

Scp工具使用

scp（Secure Copy Protocol）是用于通过 SSH 协议在本地和远程主机之间安全传输文件的命令行工具。以下是其核心用法和注意事项：

1. 基础语法

scp [选项] 源文件 目标路径

2. 常见场景

本地 → 远程

scp /本地/文件.txt user@remote_ip:/远程/目录/
# 示例：
scp backup.tar.gz admin@192.168.23.187:/var/backups/

远程 → 本地

scp user@remote_ip:/远程/文件.txt /本地/目录/
# 示例：
scp admin@192.168.23.187:/etc/passwd ~/Downloads/

远程 → 远程

scp user1@remote1_ip:/路径/file user2@remote2_ip:/路径/

3. 常用选项

4. 典型用法示例

指定端口和密钥

scp -P 2222 -i ~/.ssh/id_rsa data.csv user@192.168.23.187:/home/user/

递归复制目录

scp -r /本地/项目文件夹/ user@192.168.23.187:/opt/

限速传输（单位：KB/s）

scp -l 800 largefile.iso user@192.168.23.187:~/

5. 渗透测试中的应用

1. 窃取敏感文件（需合法授权）：
   scp admin@192.168.23.187:/etc/shadow ./stolen_shadow
2. 上传后门工具：
   scp reverse_shell.py user@192.168.23.187:/tmp/
3. 绕过基础监控：
   • 使用非标准端口（-P）或混杂在正常流量中。

6. 安全注意事项

1. 密钥保护：
   • 私钥文件权限应设为 600：
     chmod 600 ~/.ssh/id_rsa
2. 审计历史记录：
   • 检查远程主机的 ~/.bash_history 是否记录 scp 命令。
3. 替代方案：
   • 优先使用 sftp 或 rsync（支持断点续传和增量同步）。

7. 故障排查

• 权限拒绝：确保目标目录可写（chmod +w /目标路径）
• 连接超时：检查防火墙是否放行 SSH 端口
• Host key验证失败：使用 -o StrictHostKeyChecking=no 跳过验证（不安全，仅测试环境）

6，然后使用wireshark打开这个cap文件

这些协议和WLAN有关，另一个txt文件就是用于爆破这个密码的字典

aircrack-ng -w gold_star.txt wytshadow.cap

暴力破解攻击，得到wifi密钥：gaUoCe34t1

技术参考：近源渗透——WiFi渗透 - FreeBuf网络安全行业门户

802.11协议和kali无线攻击

一、802.11协议基础

1. 协议概述

802.11是IEEE定义的无线局域网（WLAN）标准，涵盖物理层和数据链路层。主要子协议包括：

• 802.11a/b/g/n/ac/ax：
  • 802.11a/b/g：早期标准，分别支持5GHz/54Mbps、2.4GHz/11Mbps、2.4GHz/54Mbps12。
  • 802.11n：引入MIMO技术，支持双频（2.4GHz和5GHz），最大速率600Mbps12。
  • 802.11ac/ax：现代标准，支持更高带宽（如160MHz信道）和MU-MIMO，速率可达数Gbps12。

2. 核心概念

• SSID：无线网络名称，用于标识网络。
• BSSID：AP的MAC地址，唯一标识一个基本服务集（BSS）12。
• 信道（Channel）：无线频段的子划分，如2.4GHz频段有14个信道（不同国家开放数量不同）12。
• 加密协议：WEP（已淘汰）、WPA/WPA2（PSK/Enterprise）、WPA311。

3. 无线网络模式

• 基础结构模式（Infrastructure）：通过AP连接客户端，需关联（Associate）后通信12。
• Ad-hoc模式：无中心节点，设备直连，安全性低12。

二、无线流量分析

1. 流量捕获工具

• Wireshark：图形化协议分析工具，支持深度解析802.11帧结构，可过滤特定协议（如HTTP、TCP）14。
• tcpdump：命令行抓包工具，适合批量捕获数据包（如tcpdump -i wlan0 -w capture.pcap）14。
• Airodump-ng：专用于无线网络的嗅探工具，可捕获握手包（如WPA四次握手）23。

2. 分析要点

• 握手包捕获：针对WPA/WPA2需捕获四次握手（EAPOL帧），用于后续密码破解38。
• 协议漏洞检测：如检测WEP的弱IV（初始化向量）、WPS的PIN漏洞110。
• 异常流量识别：如Deauth泛洪攻击（大量解除认证帧）、ARP欺骗流量89。

三、Kali无线网络攻击技术

1. 攻击分类与工具

(1) WEP破解

• 工具：Aircrack-ng套件（Airodump-ng捕获流量，Aireplay-ng注入ARP包加速数据生成，Aircrack-ng破解）210。
• 原理：利用WEP的弱密钥生成机制和IV重复漏洞，通过统计攻击恢复密钥211。

(2) WPA/WPA2-PSK攻击

• 工具：Aircrack-ng、Hashcat（GPU加速）、Pyrit（预计算PMK）310。
• 流程：
  1. 捕获四次握手包（需触发客户端重连，如Deauth攻击）38。
  2. 使用字典或暴力破解PSK（如aircrack-ng -w rockyou.txt capture.cap）310。

(3) WPS攻击

• 工具：Reaver（在线PIN破解）、Pixiewps（离线攻击路由器的PRNG漏洞）110。
• 适用场景：目标AP启用WPS且支持PIN模式，破解时间取决于信号强度和PIN复杂度18。

(4) 中间人攻击（MITM）

• 工具：Airbase-ng（创建伪造AP）、Ettercap（ARP欺骗）、Fern Wifi Cracker（自动化GUI工具）18。
• 步骤：
  1. 伪造同名AP（ESSID克隆）吸引客户端连接。
  2. 劫持流量并窃取敏感信息（如HTTP凭据）911。

(5) 隐蔽攻击

• MAC地址欺骗：使用Macchanger修改本机MAC地址绕过过滤（macchanger -r wlan0）18。
• SSID隐藏绕过：通过Deauth攻击强制客户端重连以暴露SSID812。

2. 高级攻击场景

• 热点钓鱼（Evil Twin）：结合DNS劫持和SSL剥离，诱导用户登录恶意页面911。
• 客户端渗透：通过恶意热点分发Payload（如Metasploit的Meterpreter），控制客户端后横向移动至内网9。

四、防御与缓解措施

1. 加密升级：禁用WEP/WPA，强制使用WPA3或WPA2-Enterprise（802.1X认证）1112。
2. 关闭WPS：避免PIN漏洞被利用110。
3. MAC过滤与端口隔离：限制未授权设备接入，隔离客户端间通信811。
4. 入侵检测系统（IDS）：部署工具如Kismet监控异常流量（如Deauth风暴）812。
5. 物理层防护：控制AP信号覆盖范围，减少外部嗅探可能11。

五、工具与资源推荐

• Kali内置工具：Aircrack-ng、Reaver、Wifite（自动化脚本）、Wireshark110。
• 密码字典生成：Crunch（自定义规则）、CUPP（基于用户信息生成）13。
• 学习资料：《Kali Linux无线网络渗透测试详解》（清华大学出版社）6。

8，通过近源渗透就成功拿到了目标服务器一个用户的密码，结合之前信息收集发现的用户名可以知道这是wytshadow的密码gaUoCe34t1，使用ssh进行登录（第二个受害者）

登录成功

9，做信息收集，在家目录下发现一个可执行文件

这个 file 命令的输出表明 oohfun 是一个 64-bit ELF 可执行文件，并且具有 setuid 标志，意味着它可能会以文件所有者的权限运行，而不是执行它的用户的权限。执行之后就会疯狂的弹窗

lynx 是一个基于终端的文本模式网页浏览器，用于在 Linux、Unix 及 Windows（Cygwin）环境下访问网页。

• 不支持 JavaScript 和 CSS，适用于低带宽环境或测试网页的无障碍访问性。
• 你可以用 lynx URL 直接打开网页，例如：
  lynx Example Domain

10，查看一下具有什么sudo权限

可以看到运行这个用户以root权限启动ngnix服务，那就启动之

sudo /usr/sbin/service nginx start

systemctl status nginx.service

11，使用浏览器访问一下，访问失败。那就说明服务端口可能不是80，使用nmap扫一下工作端口

再访问8080端口试试

403状态码意为服务器成功解析请求但是客户端没有访问该资源的权限

12，查看nginx的配置文件看看是什么原因

在配置文件里面发现日志文件的路径，那么我们可以查看error信息，里面应该记载了为什么拒绝我们访问的操作

没有权限就尴尬了

13，在sites-available知道了原因

原来是规定了只允许Lynx浏览器访问，但是kali没有安装包

14，解决方法很简单。靶机的8080端口是使用nginx通过user-agent来判断来源的，而这个user-agent可以使用burpsuite进行更改。挂上代理，访问网站，抓包发送到repeater模块

需要将user-Agent改成Lynx好欺骗服务器

由此服务器就傻傻的告诉我们下一个用户的账户和密码：genphlux/HF9nd0cR!（第三个受害者）

15，使用ssh服务登录genphlux

信息收集一下，发现一个名为maleus用户的文件，原来是一个RSA私钥

将这个私钥复制到本地将权限改为600，再使用ssh服务直接连接上（第四个受害者）

scp genphlux@192.168.23.187:/home/genphlux/maleus /root

mv maleus id_rsa.tr

chmod 600 id_rsa.tr

ssh -i id_rsa.tr 192.168.23.187 -l maleus

16，文件下发现并查看viminfo信息，该文件记录了VIM输入的一下信息，存在严重的信息泄露发现。由此发现账户maleus的密码B^slc8I$

17，现在条件好了允许我进行提权操作了，查看一下sudo命令覆盖的文件范围

这是一个可执行文件，允许我们通过sudo命令执行。这是提权成为root用户的关键

18，尝试复制此文件到一个新的文件名称为dont_even_bother.c 在此文件使用vim写入提权代码

cp dont_even_bother dont_even_bother.c

vim dont_even_bother.c

gcc dont_even_bother.c -o dont_even_bother

sudo ./dont_even_bother

成功提权成为root用户，cat到flag