0X01 信息收集
利用namp进行主机发现,发现主机192.168.0.16,开启22、80端口。
访问80端口,没发现什么可用信息。
再次利用nmap探索全端口,发现还有一个1898端口:
在浏览页面内容时留意到:
于是我们访问一下node2发现拥有一个视频和一张图片:
访问视频后提示到:user tiago
访问图片后提示到:Try harder!muahuahua
通过插件Wappalyzer发现当前CMS为Drupal7,语言为PHP:
利用一款工具:cewl,来获取密码字典。
Cewl是一个通过指定url及深度,使用爬虫技术,生成字典的一个工具。
选项:
-h,--help:显示帮助。
-k,-keep:保留下载的文件。
-d <x>,-depth <x>:到蜘蛛的深度,默认为2。
-m,--min_word_length:最小字长,默认为3。
-o,--offsite:让蜘蛛访问其他站点。
-w,--write:将输出写入文件。
-u,--ua <agent>:要发送的用户代理。
-n,--no-words:不输出单词表。
--with-numbers:接受带有数字以及字母
-a,--meta:包括元数据的单词。
--meta_file文件:元数据的输出文件。
-e,--email:包括电子邮件地址。
--email_file <文件>:电子邮件地址的输出文件。
--meta-temp-dir <dir>:exiftool解析文件时使用的临时目录,默认为/ tmp。
-c,--count:显示找到的每个单词的计数。
-v,--verbose:详细。
--debug:额外的调试信息。
身份验证
--auth_type:Digest or basic
--auth_user:身份验证用户名。
--auth_pass:验证密码。
代理支持
--proxy_host:代理主机。
--proxy_port:代理端口,默认为8080
。--proxy_username:代理的用户名(如果需要)。
--proxy_password:代理的密码(如果需要)。
标头
--header,-H:格式为name:value-可以传递多个。
<url>:蜘蛛站点。
命令:cewl http://192.168.0.16:1898/ -w passdic.txt
获取密码字典:
获取到844条数据。
0X02 hydra爆破ssh
由于目标站点开启22端口,我们也获取到用户名:tiago,所以现在我们来进行爆破22端口:
爆破得到密码Virgulino,登录:
0X03 权限提升
首先下载Linux提权自动化脚本进行漏洞探测:
赋予执行权限后运行脚本:
发现可以使用脏牛提权
搜索脚本:
将脚本下载至目标主机:
编译并运行:
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
看到root密码已更换为:dirtyCowFun,尝试登录上去。
成功拿下flag:
img-RI2tn3GR-1661947641837)]
看到root密码已更换为:dirtyCowFun,尝试登录上去。
[外链图片转存中…(img-81j6gLhZ-1661947641837)]
成功拿下flag: