信息收集
确定主机IP
netdiscover -i eth0 -r 192.168.84.0/24
扫描端口
nmap 漏洞扫描
web测试
对检索出来的目录进行测试
搜索框
您可以使用名字或姓氏进行搜索,可能会与数据库连接
当作搜索框输入1’ or 1=1 – qwe时,所有信息会被检索出来
使用burp抓取请求数据,使用sqlmao跑包
跑库-跑表-跑字段
解密后的账户密码为:admin、transorbital1
登录
页面多了一个添加记录功能
在添加记录页面中,最下方有一个文件不存在
是否是通过传参呢
验证
添加多个跳转符,出现内容
该处存在文件包含漏洞
读取apache 2.4的配置文件
nmap扫描到有22端口,但是流量都被过滤了,怀疑有knockd服务
knockd服务。
该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。
不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性
因此使用masscan依次扫描该ip对应的三个端口
nmap 192.168.84.185 -p 7469
nmap 192.168.84.185 -p 8475
nmap 192.168.84.185 -p 9842
将之前收集的用户详细信息用户爆破ssh端口
分别存放于username.txt和pw.txt
hydra进行爆破
使用 janitor账户进行登录ssh
janitor、Ilovepeepee
发现一个隐藏目录
存放密码
将密码再次进行爆破,得到新的内容
fredf、B4-Tru3-001
直接su 切换
提权
sudo -l
发现test文件不需要root的密码即可运行
查看test文件
打开test文件后,乱码,但可以根据部分单词判断该文件大概率为python文件
使用find命令 查找test.py文件
find / -name test.py 2>/dev/null
2>/dev/null 代表忽略掉错误提示信息。
查看该文件
py文件的含义为:读取参数1的内容,然后将参数1的内容写入到参数2的内容中。
提权思路
构造一个root权限用户,将该用户信息写入文件内,将改文件作为参数1,/etc/passwd作为参数2,这样就创建了一个root权限用户,就能实现提权了
构造payload
openssl passwd -1 -salt admin 123456
-1 的意思是使用md5加密算法
-salt 自动插入一个随机数作为文件内容加密
admin 123456 用户名和密码
得到序列值为 1 1 1admin$LClYcRe.ee8dQwgrFc5nz.
根据/etc/passwd的格式,修改一下,然后存入一个文件里,这个文件就是参数1
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd
# 用户名:密码:uid:gid:家目录:登陆后使用的shell
sudo ./test /tmp/passwd /etc/passwd
flag
83
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
