羽的博客

访问55555端口是个Request Baskets，这个存在一个ssrf漏洞，可以用现成的脚本来实现。fscan扫描ip发现存在22和55555，但是实际上这个fscan扫描的不全。不过这 靶机有点奇怪，直接反弹shell不行，但是可以写个sh，然后去执行sh。可以看到这个80页面是用Maltrail搭建的，那么直接搜下这个东西的漏洞。有三个端口，其中80应该是只能内网访问，看来需要借助ssrf了。在/home/puma下得到flag1，直接需要提权。点击这个设置，把要访问地址输上。

在c盘下发现一个windows.old，在里面可以找到SYSTEM和SAM文件，下载到本地，利用samdump2解密发现没解出来，再来试试pwdump.py(https://github.com/CiscoCXSecurity/creddump7)得到压缩包密码bludecode，解压之后发现一个比较特殊的文件configuration.php，里面有两个类似密码的字符串。登录之后在/opt/backups/下发现几个特殊文件，其中sitebackup3.zip是个正常的压缩包。但是这个压缩包是有密码的。

开放了161端口，直接snmpbulkwalk扫描得到账号密码试了那几个web端口，发现可以登录8083的vesta，但是需要用户名大写Jack接着登录之后里面可以创建计划任务，直接弄个反弹shell，一分钟回弹。得到shell后，运行linpeas.sh提供了几个可能的漏洞，挨个试一下。

jdwp可以执行命令，但是这个脚本需要python2来运行，靶机上没有，那么我们只能将8000端口代理出来了，我这里代理到我本地的7800端口上。访问8080端口显 hostname，我们通过nmap可以看到hostname为ms01.oscp.exam，修改/etc/hosts。试了下impacket-smbexec没有成功， 不过他开放了22端口，我们可以ssh登录web_svc用户。得到下面的结果，root用户运行了一个貌似是debug的进程。nmap扫描发现了一个可以的端口8021。

使用andrea:PasswordPassword_6登录远程桌面，在c盘根目录下发现一个计划任务的ps，文件，修改执行的exe位木马，获取到milana用户的反弹shell。，发现开放了一个8000端口，但是我们外部是访问不到的，它对应的页面是/var/www/internal/，这个目录下的文件我们是可以访问的，把这个文件打个包放到本地分析下。其中数据的可以直接连接mssql，但是端口是49965，不过在数据库中没发现什么可用的信息，但是可以修改密码直接进后台，这个可以先放放。

122靶机进入/home/mario/.ssh目录下，发现存在id_rsa，用这个逐个登录内网靶机，发现14的成功进入。现在我们通过代理可以扫描内网的其他机器了，扫了下10-14、83、83开放的端口基本差不多，发现都有5985。如果可以看到的话，那就简单了，直接覆盖成shell文件就可以了，然后等待反弹。登录后发现限制了命令的执行，但是help了一下，发现了哪些可以用的命令。咨询了一下是dns的问题，修改dns的ip位域的ip，也就是10的ip。接着上mimikatz来获取一些明文信息，但是失败了。