攻击地址:10.10.14.30
靶机地址:10.10.11.183
- 信息搜集阶段
利用nmap对靶机地址进行全端口扫描:
能看到目标地址开放了22,80,3000,3306端口,至于udp端口我也懒得扫,这种靶场没几个开放了的
用浏览器分别访问22,80,3000,3306端口结果只有3000端口开放,一看,是grafana系统
不过这个没怎么接触过,用searchsploit搜了一下
发现了一个任意文件读取漏洞刚好有对应的脚本我们直接下载
利用命令: python3 50581.py -H http://ip:port/,利用命令我们可以读取grafana的配置文件,我们读取/etc/passwd这个文件
上谷歌搜了一圈发下配置文件地址是/etc/grafana/grafana.ini
这里我们直接利用poc将他下载下来:
curl --path-as-is http://10.10.11.183:3000/public/plugins/alertlist/../../../../../../../../var/lib/grafana/grafana.db -o grafana.db 后面这个grafana.db这个文件名可以换成任意名字没有影响
grafana.ini中提示我们可以用mysql,sqlite3打开,这里我用sqlite3打开文件
通过查找找到了3306数据库的链账号和登陆密钥,这里查找过程就不放出来了挺多的,😄
等我喝口水...
连接成功
接下来我们进行用户数据查找
最后找到了登陆账号和密钥,但是这个密钥有点像base64编码,拿去解密一下
好家伙果然
- 开始进入内网渗透阶段 我们利用刚才拿到的密钥登陆SSH服务器
登陆成功拉
看看能用什么提权方式进行提权
上searchsploit搜了一圈没有这个内核的漏洞,那么内核提权是用不了了
计划任务提权也用不了...
发现了一个野生的consul的服务看看能不能利用一下
为了防止连接consul API接口时报错,用这条,命令做一个端口转发 转发之后我们会直接登陆目标靶机的SSH服务器
又去各大搜索引擎发现consul有漏洞可以利用并且就在msf有,我们打开metasploit msfconsole
使用这俩个模块payload
查看需要设置的参数
然后就报错了......蚌埠住了
最后看了一个大佬的文章问题得以解决,需要用这条命令直接反弹shell
最后也是成功拿到flag,美滋滋👍👍👍
至此,渗透测试结束,
扫一扫
752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
