靶机官网:Tre: 1[1]
实战思路:
-
一、主机发现 -
二、端口发现(服务、组件、版本) -
三、漏洞发现(获取权限) -
8082端口/HTTP服务 -
组件漏洞 -
URL漏洞(目录、文件) -
80端口/HTTP服务 -
组件漏洞 -
URL漏洞(目录、文件) -
22端口/SSH服务 -
组件漏洞 -
口令漏洞 -
80端口/HTTP服务 -
URL漏洞(目录、文件) -
四、提升权限 -
tre用户 -
sudo -
suid -
cron -
后记
一、主机发现
本次攻击指定IP,不涉及主机发现过程。
二、端口发现(服务、组件、版本)
使用命令sudo -u root nmap 172.16.33.53 -n -Pn -p- --reason -sV -sC -O发现主机开放的端口、提供的服务、使用的组件、组件的版本。
|
开放的端口 |
提供的服务 |
使用的组件 |
组件的版本 |
|
22/tcp |
ssh |
OpenSSH |
7.9p1 |
|
80/tcp |
http |
Apache httpd |
2.4.38 |
|
8082/tcp |
http |
nginx |
1.14.2 |
|
- |
os |
Debian Linux |
? |
三、漏洞发现(获取权限)
8082端口/HTTP服务
组件漏洞
01、中间件组件:使用命令searchsploit nginx 1.,未发现组件nginx 1.14.2的Nday漏洞。
02、应用组件:使用Wappalyzer、FindSomething等浏览器插件自动识别,使用BurpSuite等工具手动识别,均未发现应用组件信息。
URL漏洞(目录、文件)
01、直接访问:使用浏览器打开http://172.16.33.53:8082/,只有一张竹子的图片。
02、目录扫描:使用命令dirb http://172.16.33.53:8082/ -R扫描网站的目录和文件,无收获。
03、模糊测试:基于当前已知信息,没有对网站的目录和文件进行FUZZ的必要。
04、信息收集:前面在Firefox访问网站的流量全都走BurpSuite代理,并使用HaE插件分析敏感信息,无收获。
这个报以最大期望的非标端口,竟就这样草草收场了。
80端口/HTTP服务
组件漏洞
01、中间件组件:使用命令searchsploit Apache httpd 2.4.,未发现Apache httpd 2.4.38组件的Nday漏洞。
02、应用组件:使用Wappalyzer、FindSomething等浏览器插件自动识别,使用BurpSuite等工具手动识别,均未发现应用组件信息。
URL漏洞(目录、文件)
01、直接访问:使用浏览器打开http://172.16.33.53/,只有一张竹子的图片。
02、目录扫描:使用命令dirb http://172.16.33.53/ -R扫描网站的目录和文件,发现/cms/目录及其子目录和文件、/info.php文件、/system文件。
02-01、/cms/目录,打开会跳转到http://172.16.33.53/cms/site/页面。
02-01-01、使用Wappalyzer、FindSomething等浏览器插件自动识别应用组件,对于识别到版本的组件,使用searchsploit命令和搜索引擎查找Nday漏洞,未发现可以用于获取权限的漏洞。
02-01-02、直接访问http://172.16.33.53/cms/site/,发现是个静态页面,按钮都是href="#"的伪链接。
02-01-03、逐个访问前面目录扫描发现的/cms/下的子目录和文件,无收获。
02-02、/info.php文件,打开后是phpinfo()`页面,泄露的信息目前没有利用方式。
02-03、/system文件其实是/system/目录,需要HTTP Basic Authorization才能访问,随手测一个admin/admin竟然对了,随后跳转到http://172.16.33.53/system/login_page.php页面,是Mantis Bug Tracker的登录页。
02-03-01、Wappalyzer、FindSomething等浏览器插件自动识别到的应用组件和前面的一样,不再深入排查。
02-03-02、在MantisBT 2.0 Admin Guide[2]找到默认账号administrator和密码root,但无法登录。
使用BurpSuite的Intruder爆破账号密码,也没有收获。
尝试注册账号进行登录,提示会发送邮件验证邮箱,但这种内网系统,邮件怎么发得出来嘛。
02-03-03、使用命令dirb http://172.16.33.53/system/ -R扫描目录和文件,响应码是401 Unauthorized,咦那刚才爆破Mantis Bug Trackerhttp://172.16.33.53/system/login_page.php的账号密码也没说要认证呀。
重新使用命令dirb http://172.16.33.53/system/ -R -u admin:admin扫描,发现一些目录。
逐个翻看目录,只有/system/config/有点意思。/system/config/目录下的a.txt文件,内容和config_inc.php.sample文件一样,是MantisBT的配置文件,而且有些参数已经配置上了,猜测是曾经用过的配置文件。查看文件大小,a.txt和config_inc.php.sample一样,但是比config_inc.php大很多,所以当前正在使用的config_inc.php有可能未修改账号密码,只是删减了无用的注释和配置。此处先记下MySQL数据库的账号密码mantissuser/password@123AS。
原文始发于微信公众号(OneMoreThink):靶机实战(10):OSCP备考之VulnHub Tre 1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论