Mysmycbx的博客

vulnhub 靶机渗透：PWNLAB：INIT

靶机IP：192.168.56.101发现22端口过滤，开放了80和3128端口，那就是优先级80，3128，22。1、SQL注入时需要通过提示信息修改注入代码，完成绕过。2、当获得到ssh密码后，发现ssh端口无法登录时，可以查看代理服务。3、使用proxytunnel代理软件，完成代理服务。使用proxytunnel，使用-p参数指定192.168.56.101:3128代理，使用-d指定目标为 192.168.56.101:22端口，映射到本地kali的6666端口。4、

靶机链接: https://www.vulnhub.com/entry/my-file-server-1,432/处理信息，获取开放端口服务扫描漏洞扫描选择渗透方向观察服务，发现通过查看，这里比较感兴趣的是secure文件，但是目前没有权限，检查一下2121端口和21端口一样没有信息。那就下一个。通过阅读secure文件，发现了以下信息。写入这里尝试一下密码碰撞，登录21端口ftp，失败。 2121端口，ftp失败，22端口欧ssh，失败。通过阅读额sshd_confi

使用curl -X OPTIONS查看网站能够使用哪些请求方式，然后使用PUT进行上传恶意文件，例如一句话木马，反弹shell等。反弹shell时，尝试多个shell，bash，pyhton等。定时任务不止一个路径，/etc/crontab, 还有/etc/cron* ，包含/etc/cron.d,/etc/cron.daily等。定时任务里发现应用，一定要搜相关漏洞，搜到后综合多个poc进行利用。

很有意思的靶机，思路很多，值得学习。

信息收集很难，需要总结

发现有个contact.zip，下载下来解压，解压出contact.php,阅读源码。进入vendor文件夹，发现上面找到的phpmailer服务就存在这个文件夹里，翻找一下。在上面的内容中，我们获取到www-data权限，但通过扫描wordpress扫描到存在michael和steven两个用户，那能不能从这两个用户中，得到什么呢?下载下来一个试一试。找到了steven的用户凭据，但这里需要解密，使用john解密。，这里习惯性的使用ssh登录一下，结果成功了。扫描到后台，尝试弱密码登录，发现失败。

用户可以通过自定义函数对数据库进行操作。

发现了robots.txt,打开发现sar2HTML,打开http://192.168.54.13/sar2HTML,发现是个工具，且告诉了版本号。可以root权限执行write.sh，但可以修改write.sh，那就修改为反弹shell。，既然是工具就可能存在漏洞，去searchsploit搜一下。发现执行成功了，那就说明该漏洞是存在的。然后静静地等待5分钟，就获取了root权限的反弹shell。发现有个root权限执行的定时任务，且5分钟执行一次。发现了2个且版本都是对应的，试试。

【代码】提权：可写的/etc/passwd创建用户提权。

几个月前出现了一个新的漏洞，叫做Printspoofer，它利用了Windows中的一个漏洞，其中某些服务帐户需要使用SeImpersonate特权以更高的权限运行。使用SMB共享，我们可以将Printspoofer漏洞上传到计算机，导航到C:/inetpub/wwwroot/nt4wrksv目录，并定位它。在80端口没有发现内容，但是在49663端口发现了一个目录，如图。通过扫描服务，发现了web服务80端口和49663端口，smb的445端口和rdp的3389端口。

通过运行linPEAS.sh,发现了一些私钥文件，这里将这两个文件传到我的kali上。发现zip有root权限，在gtfobins搜一下，尝试。，发现是存在漏洞了，于是找到了PoC。这里将项目里的py文件保存下来利用。

通过尝试，无法在files目录下通过ftp上传文件，那这里进入files/ftp文件夹，然后重新上传shell.php，发现成功，同时在网页上发现了该文件，这里开启监听，然后打开该文件。lennie可以执行planner.sh文件，通过修改print.sh文件，写入反弹shell，成功获得root权限。anonymous尝试登录，登录成功，获取文件查看，其中有个ftp文件夹和两个文件，两个文件没有什么信息。上传linPEAS.sh，赋于权限，执行，发现了感兴趣的文件。kali机器获得这个名字为。

今天在碰到一个靶机，显示是，但是完全不会，这里写一篇记录一下，保持学习。

这里可以发现game.jpg.bak发现了一个comment，这里有个摩斯密码，使用strings获取完整的morse code，然后去cyberchef去解密。目录下还发现了一个.secretfile.swp,没有访问权限，会不会是他在捣鬼？在mysite页面发现一个诡异的cs文件而不是css文件，这里打开，发现是jsfuck。这里发现了ftp，但是无法查看内容，于是使用norris凭据，登录ftp查看内容。通过翻阅文件夹内其他文件，只找到2个有用的文件，将他们拷贝到主目录下进行处理。

发现第一个文件就很感兴趣，这不就是刚刚ssh登陆时的信息吗，这里写入反弹shell，同时开启监听，然后重新登陆ssh。将中间的凭据保存到cracked_creds文件中。处理一下文件，尝试ssh爆破登录。将上面的文件保存到leaked_data里。使用john破解一下md5。有密码，有用户，尝试ssh爆破登录。发现了这样关键的信息，

这里发现不是ssh密码，那就应该是之前的webdav密码。通过查看网站，和图片，最后啥也没有，于是重新扫一下前20个udp端口，发现，root权限执行了以下命令，那就可以写入咱们的反弹shelll。这里可以发现，可以发送php文件，可以执行php文件。发现是brainfuck语言。那这里使用beef处理一下。发现个tftp端口可能是开放的。web端打开页面，获得初始shell权限。然后就是开启444监听，退出重新进ssh。通过尝试，登录到inferno用户中。发现了一个hell.sh，查看一下。

这里less，有个v指令，就是先打开这个文件，然后按v，会启动vi去编辑当前文档，目前就是doas给到一个编辑权限，那这里先esc，然后输入。查看nfs服务有没有类似的共享文件。由于这个机器是OpenBSD,没有。居然需要密码，那就john来干。，有个doas指令类似，这里通过。查看解压出来的文件是否有包含。需要密码，那就john来干。成功获得root权限。

然后就是查看if(!$retval) {?发现了数据库连接文件，然后去phpmyadmin登录，然后同样能获取到ssh连接的信息内容。

按照流程去uploads文件夹看看。40611.那就去试试。（尝试了好几个内核提权，全失败了，那试试其他方法）靶机端shell获取该文件，赋于执行权限，运行。发现是 cutenews cms 2.0.3。