信息搜集
端口搜集
首先通过nmap扫描靶机,发现两个端口22和3000,其中3000是一个web服务
通过dirsearch发现两个可以目录,居然是nodejs的项目
web服务搜集
顺便记录下首页出现的三个用户名tomcat、mark、rastating
简单在github上面搜索下最关键的特征词发现没有这个项目
源码泄漏
f12发现下面疑似接口泄漏
但是点进去发现原来是故意给了源码啊
用户信息泄漏
简单访问一下发现泄漏了用户名和密码
之后发现去掉latest以后还出现了admin
admin密码撞库拿到了密码manchester,拿着这个去登陆
admin用户登陆
发现登陆后有个下载备份
看了下请求信息,发现是get请求并且无传参,看来无法任意文件下载
获得备份文件
直接修改为zip发现打不开
直接打开发现是疑似base64
果然是,然后还发现有密码
爆破密码
用archpr发现爆破一年应该不能爆破,尝试下用rockyou字典得到了密码magicword
成功获取源码
数据库配置信息泄漏
发现敏感信息泄漏mark:5AYRft73VtFpc84k
登陆ssh
按照套路,尝试使用用户mark登陆ssh,登陆成功
whoami发现是普通用户权限
提权
尝试寻找特权指令
查看有无特权指令
尝试suid提权-pkexec成功
尝试suid提权,发现pkexec,联想到前段时间的pkexec本地提权
影响版本
1 | CentOS系列: |
发现版本对上了
网上下个pochttps://github.com/berdav/CVE-2021-4034,提权成功
获取交互式shell
1 | python -c 'import pyt;pty.spwan("/bin/bash")' |
获取flag
一个是在/root/root.txt
;
另一个是在/home/tom/user.txt
;