qq_61802750的博客

111端口是一个rpcbind 2-4服务，这个服务存在一个漏洞，该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB)，除非进程崩溃，或者管理员挂起/重启rpcbind服务，否则该内存不会被释放；特殊的 PERMS 将帮助找到 passwd - 但您需要 -exec 该命令来弄清楚如何获取隐藏中的东西。使用Drupal对数据库的加密方法，生成一个新密码，然后把新的密码更新到admin用户。一个是修改admin的密码，一个是增加一个admin权限的用户。

22是open SSH 服务，6.6.1版本，这个端口有漏洞的概率极小，优先级排后。tcp 扫出的四个端口，在tcp协议下都可以进行渗透测试，如果涉及到一些异常情况，或者需要找一些新的信息的时候，也可能涉及到udp。这样smb服务的两个端口就利用完毕了，我们还有22和80端口，22端口的ssh服务排后，先看80端口的web服务，显示3个smb的共享信息，但是只有wave可以访问，我们尝试进行连接。发现有/etc/passwd，我们看一下对passwd的权限。我们直接切换用户，进行用户间的横向移动。

​ 进入wordpress目录，有对应的配置文件wp-config.php，我们打开可以看到数据库密码。这时，服务名、版本号都有了，我们可以进行漏洞利用了。​ 既然我们找到mysql版本，我们就可以考虑使用mysql UDF 提权。​ 访问之后，会在后台生成shell文件，我们访问shell.php文件。​ 可以看到，靶机开放了22、80、111端口，我们优先访问80端口。​ 我们再次用python搭建简单的服务器，把文件下载到靶机里面。​ 找到靶机的ip之后，我们使用nmap扫描靶机的端口。

枚举类型通常用于为程序中的一组相关的常量取名字，以便于程序的可读性和维护性。我们看到，最下边有条记录，每五分钟以root的权限，执行这个shell脚本，执行结果就是把它扔掉。80端口是http，攻击面很大，可以优先考虑。我们现在就在jackson这个账户，有不正常的交互。我们去识别一下下面的字符，看看是什么加密方式，不出意外的话就是MD5。我们试一下，使用eder账号，密码使用vipsu。那我们再写入一个shell，打开监听，看看是否是root权限。index是我们当前的页面，我们先访问一下access。

所以我们要去找到它的管理员路径。这个系统没有做多少的自定义的功能，还是老旧的系统，我们可以通过：1.猜测；这样的话我们有理由去推测：整个系统就是administertor,所以我们能不能找到它的凭据，从而利用它的身份。这样我们就得到了一个root用户，但我们无法得出是22端口的ssh用户还是3128端口的用户。打开浏览器，对3128端口和8080端口进行访问，虽然说8080端口是关闭的，但我们还是要进行尝试。好了，我们看到了wolfcms的这么一个内容管理系统，那么在这个系统中，artcles中，有。

把localhost指向我们的kali，再做一个实验，也许localhost不允许指定非本机ip，指向靶机ip可能不行，所以我们再创建一个域名来进行访问。看到已经列出了passwd的内容，每一条用户数据的第二段都是X，证明密码是以哈希的方式存在了shadow文件中，我们去找shadow文件。下面的字符，我们通过观察可以发现，它是上下颠倒加上前后倒序，kali里没有工具可以解密，我们可以百度进行查询。如果创建的域名可以访问的话，而localhost不行，那就是现在kali的环境不允许这样操作了。