对某站点的一次详尽渗透记录

admin 2022年4月9日16:41:11评论94 views字数 1758阅读5分51秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


文章来源:先知社区(长相安)

原文地址:https://xz.aliyun.com/t/11138


0x01 前言

之前项目的某个站点,现在差不多尘埃落定,大致流程觉得还是可以分享一下的。


0x02 过程

初期拿到手大概是这个情况(厚码保命,相信师傅们看得出这是个什么站了)

对某站点的一次详尽渗透记录


老实说,这些信息用处不大,试了下文档里标的sql,太菜了没绕的过去,然后针对找到的真实ip进行旁站收集,最终在相邻段里摸到一个点

对某站点的一次详尽渗透记录


特征很明显,这套是微盘的程序,只能说是非常激动了,因为不出意外进去就能搞到shell,这里也是简单根据之前的信息摸到后台,一发默认账号admin打过去寄了

对某站点的一次详尽渗透记录


没事,上祖传字典。设置好默认密码开始跑用户名

对某站点的一次详尽渗透记录


lucky~这里不知道跑到哪个祖传账号进去了,不关心,直接放包刷新页面进去转转

对某站点的一次详尽渗透记录


这里面的二维码功能点可以bypass拿shell的,有些版本不存在,看人品


这里就简简单单拿了个shell。但执行命令的时候发现有点小寄

对某站点的一次详尽渗透记录


看来是禁了点东西,用蚁剑自带的插件bypass一下看看。有了,但又没完全有(说实话偶尔会遇到这种问题,我没仔细研究过归于玄学问题,路过的师傅指点一下)

对某站点的一次详尽渗透记录


但没关系,这里可以直接弹个shell回来继续搞。

对某站点的一次详尽渗透记录


history和进程里没东西,那么还是隐藏一下命令痕迹先。

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0


再收集一下基本信息。好嘛,ifconfig又用不了,换一个

对某站点的一次详尽渗透记录


很致命,权限太低了,arp、traceroute这些统统用不了

对某站点的一次详尽渗透记录


那就换/sbin/route -nee浅看一眼路由表

对某站点的一次详尽渗透记录


好像没啥东西,不过也正常,这种机器多半是没在内网的。还有像traceroute这种本来想直接给他yum的,奈何权限不够,还是先提个权再说。


这里是直接传了工具自动检索CVE(linux-exploit-suggester2),跑出的脏牛这些挨着试了一下,都不行,寄,片名为寄。(说实话这个工具我很少成功

对某站点的一次详尽渗透记录


但不慌,前段时间的4034版本符合。搞一下,啪的一下,很快啊,没有寄,这个洞还是很能打的

对某站点的一次详尽渗透记录


在之前的收集过程中发现有宝塔,寻思还是直接登录到宝塔面板管理舒服点。这里过去看了眼后台路径、端口和允许的域名(厚码一下,师傅们浅喷)

对某站点的一次详尽渗透记录


再浅读一手密码(bt的默认密码在配置文件panel/data/default.pl中,路径可能会变,根据实际情况来)

对某站点的一次详尽渗透记录


没浅出来,我不信,find . -name "*.pl" 找一下,年轻人,花里胡哨。

对某站点的一次详尽渗透记录

对某站点的一次详尽渗透记录


拿着密码去梭一发,啪的一下,很快啊,年轻人你不讲武德,小丑竟是我自己

对某站点的一次详尽渗透记录


没事,那就继续操作,把这个db文件copy到我shell能访问的地方下载

对某站点的一次详尽渗透记录


很好,这波确实有点不顺,抽根棒棒糖冷静一下。现在我们想想the shy会怎么做?

那么我这边就直接新起一个目录,然后把这个目录zip打包拖回来,欸,简单粗暴,效率高

对某站点的一次详尽渗透记录

对某站点的一次详尽渗透记录


很好,绿了它绿了(拿棒棒糖的手微微颤抖。)


把db文件拖出来看看,其实里面能看的东西挺多的

对某站点的一次详尽渗透记录


随便看看。这里直接定位到user表,根据他的salt我们在表里新增一行,大概这个样子

对某站点的一次详尽渗透记录


接下来将此db文件覆盖掉原有db,用自己账号登录成功接管宝塔面板。

对某站点的一次详尽渗透记录


0x03 结束

这个站点到这基本上就结束了,后续就是简单而枯燥的善后工作,该清的清,该留的留,没有从这里撕开口子打进内网确实有些可惜,不过问题不大,还是收集到了很多东西方便后续使用的。真实环境,打码较为严重,师傅们海涵。



关 注 有 礼



关注公众号回复“9527”可以免费领取一套HTB靶场文档和视频,1120”安全参考等杂志电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”在线杀软对比源码+数据源。

对某站点的一次详尽渗透记录 还在等什么?赶紧点击下方名片关注学习吧!对某站点的一次详尽渗透记录


推 荐 阅 读




对某站点的一次详尽渗透记录
对某站点的一次详尽渗透记录
对某站点的一次详尽渗透记录

欢 迎 私 下 骚 扰



对某站点的一次详尽渗透记录

原文始发于微信公众号(潇湘信安):对某站点的一次详尽渗透记录

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月9日16:41:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对某站点的一次详尽渗透记录http://cn-sec.com/archives/889244.html

发表评论

匿名网友 填写信息