信息收集
扫描IP
nmap -sP 192.168.229.0/24
获取靶机信息
nmap -sS -sV -T5 -A -p- 192.168.229.179
发现开启22端口和80端口
访问80端口得到:
查找漏洞
通常查看源码
访问main.js有有用信息:
首先是:
opus-details.php?id="+str
是一个php页面,在url访问看看能不能访问得到:
发现能成功访问,请求参数得到:
发现是一个XSS漏洞
XSS漏洞
试试能不能获取cookie:
playload:
<script>alert(document.cookie)</script>
得到:
发现cookie被加密,猜想可能是刚刚的AES加密:
密码:
SecretPassphraseMomentum
尝试解码得到:
得到密码:
auxerre-alienum##
用户名:
auxerre
猜测是ssh的密码和用户
尝试连接
查看用户不是root
找到第一个flag:
提权:
看到了6379这个端口,它通常是redis服务的端口
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。
查看redis内容,得到root的密码。
用密码提权获取flag:
参考博客:
https://blog.csdn.net/weixin_39368364/article/details/120067491