admin741admin的博客

漏洞定位反弹获取flag。

开始和nmap信息收集 nfs渗透 7z压缩包暴力破解 查看7z压缩包 7z暴力破解 生成hash值 john破解 hashcat破解 先去除头部类型关键词 通过密码解压 私钥密码暴力破解 发现用户 使用密钥文件需要密码 ssh破解 生成hash值 john破解 由于ssh 的 formats 过多，不指定破解类型格式 john自主判定类型格式 获得系统立足点 doas提权分析 doas配置文件 运行doas less+vi提权 按v进入编辑模式 :sh运行sh

源码无发现，下载静态资源look可能是ssh密码，可能是mysql密码，最后是web路由。

mysql users表的账号和密码。识别hash为md5。

WebDAV 基于 HTTP 协议的通信协议，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。因为基于HTTP，在广域网上共享文件有天然的优势，移动端文件管理APP也大多支持WebDAV协议。Samba是Linux下CIFS协议的实现，优势在于对于小白使用简章，和Windows系统文件共享访问一样，不需要安装第三方软件，而且移动端也有大量APP支持。

搜索文件高权限运行bash时候，也能运行polkit?临时拥有文件所有者的身份执行polkitJSFuck 只使用6种字符 []!()+来书写任何Javascript代码。当然，用这种方式写出来的代码会很长。JSFuck不需要依赖浏览器，也可以在Node.JS上运行。

上传ms和木马exe。

nmap webdav-davtest webdav-cadaver PUT 不允许上传 curl PUT 不被允许 –upload-file 上传 不被允许 PUT+MOVE上传 不被允许 iis 6.0 shell system windows-exploit-suggester Windows Server 2003 and IIS 6.0 privilege escalation https://github.com/Re4son/Churrasco

nmap 8500端口(类似web) 漏洞关键词 生成木马 漏洞利用 system Sherlock windows-exploit-suggester MS10-059 https://github.com/egre55/windows-kernel-exploits smbserver 运行exe

以下的文件名都能通过，http://ip/文件名来访问，其中目录爆破也显示部分文件名。后面把payload修改成32位才反弹成功，64位无反应。把之前shell.txt 改成 shell.aspx。将再次上传，这一次使用二进制来保留上传数据。但之前的apsx反弹会报错。put 上传显示403。生成aspx反弹文件。

通过135端口入侵实际上是利用RPC漏洞来攻击计算机的。一般情况下135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地 执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。

【代码】杂记-漏洞。

靶机目录