声明:该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正!
实战打靶系列第 27 篇文章
kali的IP:192.168.227.130靶机IP:192.168.227.135
主机发现
使用nmap进行主机发现:
发现192.168.227.135为新增加的IP,即为靶机IP
端口探测
这里22端口运行着ssh服务,80端口和8082端口都运行着http服务,但是使用了不停的中间件搭建。
web服务
这里发现80端口和8082端口都运行着同一个服务。只是使用不同中间件搭建。
界面源代码没有什么信息,使用dirsearch进行目录爆破,
其中301的站点指向的网站不存在可以利用的功能点,基本以静态为主。
在info.php界面就是一个普通的phpinfo界面。
第一种get shell方法
这里尝试访问401状态码的网页,这类文件在服务器中存在,但是需要进行身份验证才能访问,这里访问system目录,这里是一个简单的网页验证,
这里尝试弱口令admin/admin,成功登陆。界面如下:
这里看到使用的是一个名为mantis的系统,在漏洞库里搜索一下,
这里有很多结果,这里使用Password Reset脚本,查看一下脚本。
这里给出了利用方法,根据自己的需求进行修改,主要修改ip地址和路径,写改后访问如下:
在这里就可以直接修改密码,登陆后台,进行信息收集。
在后台中找到用户账号密码,
这里使用ssh进行登陆,
成功反弹shell。
第二种get shell方法、
这里看到有RCE漏洞,下载脚本进行利用。
这个脚本是运行在system界面,但是这个界面要进行身份认证才能进入,通过调试器发现进行身份认证以后会在请求头种生成一个信息,如下图的Authorization,
后面的base64就是我们输入的认证信息。
这里不仅要修改脚本种的信息,还要添加这个头部信息才能正常使用。整体修改方式如下:
修改后执行,成功反弹shell。
第三次get shell
对system目录执行目录扫描,但是这里要指定头部信息
这里有很多收获,在config目录中发现了a.txt。
这里想到
用得到的用户名密码进行登陆,登陆后如下:
看到数据库中存在的表,这里主要关注mantis_user_table表,直接将表中的数据查询出来,
这里可以进行ssh登陆,同第一种方法。
提权
这里只有一个可以执行重启指令的权限,不用密码
这里猜测提权可能与重启有关,这里直接搜索我们可以有写的权限的文件并且属主为root的文件。
这里进行一下筛选,结果如下:
很明显这里可以利用的是最后一个文件,首先查看文件内容。
这里是一个执行脚本,看起来应该是开机自动执行的脚本,编辑脚本,反弹shell
本地监听4444端口,收到shell,提权成功
渗透结束。
原文始发于微信公众号(0x00实验室):VulnHub靶机-Tre |红队打靶
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论