jieli0901227的博客

通过nmap 端口扫描开放端口为22,80扫描开放端口服务的版本通过查看没有可供利用的版本信息漏洞从目前的收集的信息，版本也没有可以利用的漏洞， 22 端口也没有有效的凭据 ，只能从web 入手了访问查看是个静态页面，没发现什么有用信息源代码中发现 字符串 解码后这个字符串“”DRAGON BALL ” 暂时没什么用，先留着查看是否有有robots 文件robots .txt 出现 字符串尝试解码能得到什么他提示我发现隐藏目录 那之前发现的“”DRAGON BALL “ 是目

page=blog&title=Blog&id=2 地址存在注入。发现sudo - l 发现该账号sudo 可执行root 所有命令，并且不需要密码。2、使用 order by 判断数据库的列。5、查询user 表的字段信息。4、查询当前数据库有哪些表。3、使用联合注入找报错点。nmap 主机漏洞探测。扫描出也没什么有用信息。1、通过浏览页面发现。

（3）查看/etc/passwd, 及shadow ,发现pass好几个用户, shadow 无权限。通过搜索searchsploit ,存在远程代码执行，但是需要登录,我们目前没有账号密码。（1）查看当前账号有哪些超级权限，发现需要密码 ，尝试shannon 失败。使用账号密码登录后台成功,发现页面中可写，尝试写入反弹shell。通过互联网搜索，发信有个密码hash 信息泄露的路径。访问该路径，果然存在，账号admin 密码 hash。（2）查看计划任务，没有有效的信息。剩余没什么有用信息。

总结：主机端口开放22,80，901 8080,10000，没有明显的漏洞利用。（1）通过浏览发现发现有注册页面，注册登录后如下，发现有个sql注入。nmap 扫描结果没有什么漏洞可利用，有枚举如下。sqlmal 跑一下 发现有3个数据库。（1） 使用如上的账密ssh 登录。通过这些密码进行ssh 撞库。主机开放端口的详细信息。nmap 漏洞信息扫描。

编辑脚本，执行系统命令让overflow 用户以root身份执行所有权限，脚本执行后再次登录overflow 用户就能以root身份执行bash。下载查看roflmao 文件，0x0856BF这个地址有可能是内存地址，也有可能是url 路径地址。Pass.txt文件里面的密码我们已经试过了，既然文件夹中包含面，但是这个文件名还没试过。发现了两个文件，打开第二个文件查看，发现了Pass.txt文件，查看看看。操作过程会中断，，是不是有计划任务存在执行脚本呢，查看计划任务无权限，匿名用户登录,发现有文件。

访问80端口发现这个网站底部有个Powered by Drupal ，判断网站使用 Drupal CMS框架 ，看看能不能找到版本，是否可通过版本作为突破。我们知道在Drupal CMS框架 的安装路径上会显示版本信息，果不其然 ，是存在的Drupal CMS框架 的版本为8.3.5。查看http://192.168.241.157/ 源代码 发现网站使用Drupal CMS框架 的版本8 ，在kali 上 searchsploit 漏洞库搜索一下，Drupal CMS有没有可利用的漏洞。

从服务器信息收集看 这台靶机的ip为192.168.241.150 ，服务器开放了22,3128、8080使用nmap扫描漏洞也么什么发现，。对于开放的端口我们优先8080和3128。

靶机IP固定10.10.10.100，需要配置虚拟机NAT的IP，如下图所示，靶机的web目录是/var/www, 并且发现了一个配置文件，查看这个配置文件，使用命令查看是否安装nc 或者python，发现nc、和python 环境都有。主机开放了22 、80 端口 ，扫描这两个端口详细信息,扫描结果如下图。发现又有个账号root \goodday 尝试ssh 登录 失败，收集数据库信息获取到当前用户为root ,权限比较高，发现有登录和注册界面跳转，尝试访问看看。发现数据库配置文件：读取该文件信息。

提示使用secrettier360作为参数在每一个php 页面，有参数没有值，那我们就在index.php 和image.php 上测试文件包含漏洞。这台靶机开放端口 22 80 端口 使用nmap 扫描只有枚举的信息， 22 端口也没有账密信息 ，所以重点放在80端口上。接下来直接拿webshell,打开我们最喜欢的主题编辑器，翻了半天，只有secret.php 存在写权限,写入反弹shell。页面提示我挖错文件了，，那就尝试读取location.txt.，如下图。查看enc 文件 无读权限。

主机漏洞扫描完成，这台靶机只开放了80 端口，通过nmap l漏洞扫描发现有robots.txt 和phpinfo.php 两个文件。切换到目录、var/www/html下 查看finally.sh ,这个脚本调用了write.sh ，robots 这个文件是方式爬虫爬取网站的，那么这个字符串有可能就是路径了，访问看看，80 端口默认页是一个apache服务的默认页面，没有什么特殊的地方。1、首先靶机主机ip发现， 端口扫描（），nmap 漏洞探测。那就好办了，，尝试利用下，镜像下来，打开看看。

既然有数据库，还有之前有个wordpress 的blog ，那么查找一下数据库配置文件，浏览完页面没有发现什么， 发现blog 是个wordpress CMS，有个搜索，尝试注入，使用sqlmap 跑了一下，没跑成功;主机开放有22，80，111，39169端口 ，22端口没有收集到账号密码信息，那么暴力ssh 消耗时间成本太大，，优先80端口。nmap漏洞探测没有发现可利用的漏洞信息，只有网站的路径枚举信息，，我们留着，后面查看。查看一下wordpress 的版本,已经限制，不能查看版本。

主机开放了80（http）,111,777(ssh),53062（未知） ， SSH 目前没有收集到账号及密码信息，爆破ssh 暂时放弃，那重点放在80 端口上，那我们爆破尝试一下，打开burp 抓包进行爆破，使用rockyou.txt 这个密码字典，爆破出来密码为elite。发现有字符串：kzMb5nVYJw 这个有可能是SSH ROOT密码，也有可能是路径，果然是路径，， 但是这个需要输入key ，我们目前没有密码。这个是什么东西呢，，既然不认识，那就执行这个命令看看。输入密码后，输入admin。

通过nmap 扫描结果发现有两个IP，192.168.241.140 为 KALI。这个页面中加密字符串，通过kali工具判断有可能是MD5，passwd 能够查看，而shadow 文件没有查看权限。尝试访问/etcpasswd 和/etc/shadow。使用burp 抓包后台登录界面进行尝试爆破。发现80端口有两个页面，而8080没有。（2）还发现构造项目中可以命令执行。写入反弹shell ，保存后。访问index为默认页面，但是反弹shell没有成功。成功拿到webshell。计划任务中脚本有写权限，

02.txt 中第2个字符串可能是base64，使用工具进行解密，也没有效信息。（1）通过searchsploit cuppa cms 发现有可利用的漏洞。这里发现没有可以直接利用的漏洞，接下来对每个端口对应的服务进行测试。没有显示passwd , 查看25971 ,需要对参数值进行编码，浏览目录发现.txt 文件 ，通过mget 下载下来。02.txt 中第1个字符串可能是MD5。这里我们使用nmap确定靶机的ip地址。使用sudo 运行bash 进行提权。通过在线工具进行翻转。FTP渗透可能性不大。