0x01 信息收集
扫描端口:
nmap -A -T4 -Pn -sS 10.254.2.7
扫描端口后得知只有22端口和3000端口,访问3000端口是个web页面。
并且有个登陆页面
0x02 web渗透
查看一下源代码,发现很多js代码
在assets/js/app/controllers/home.js文件夹有个api接口
然后直接访问api接口,意外发现有三个uername和md5加密后的password
第一个拿去somd5网站解密后得到密码:spongebob
直接登陆进去,提示只有admin用户可以访问控制面板
回到原点,我们继续查看js的源代码,在assets/js/app/controllers/profile.js文件中发现有个/api/users的接口,我们访问他
发现多了一个用户,并且他的is_admin是true类型,那就说明他是管理员用户
同样拿去somd5解密,得到密码:manchester
登陆后发现有个下载按钮,并且是备份的文件
文件名为myplace.backup,不知道是啥后缀的文件,我就用记事本查看,发现好多字符串,以CTF思维来讲好像是个base64编码
那么多放在在线解密网站直接崩了。经过网上查询,可以使用kali的base64命令解出来合成一个文件。然后file命令查看一下他输出的是什么文件格式。
base64 -d myplace.backup > myplace
file myplace
发现他是zip压缩包格式,我们查看一下有什么。打开后发现还需要密码
直接爆破,本次使用kali的fcrackzip工具以及自带的字典爆破。
新版的kali没有自带了,需要安装
apt install fcrackzip
fcrackzip -u -D -p /usr/share/wordlists/rockyou.txt myplace.zip
得到密码:magicword
打开后是源码的备份文件,然后在app.js发现有个连接数据库配置文件,找到连接用户名和密码
尝试22的SSH登陆,ssh [email protected]
登陆成功!
0x03 权限提升
使用sudo -l查看特权文件,可惜没有。我们先使用uname -a查看内核版本
尝试搜下有没有内核提权漏洞
searchsploit linux 4.4.0
把exp复制到桌面上
searchsploit -m linux/local/44298.c
然后使用scp复制到目标主机上
scp 44298.c [email protected]:/var/tmp/
使用gcc进行编译exp
gcc 44298.c -o shell
执行shell文件,成功提权至root
root用户根目录下有个flag:1722e99ca5f353b362556a62bd5e6be0
第二个flag是tom用户的根目录下:e1156acc3574e04b06908ecf76be91b1
●【渗透测试】Vulnhub靶场之Catch Me If You Can
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】Vulnhub靶场之Node
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论