VulnHub靶机-Tre |红队打靶
2023-7-3 10:2:31 Author: 0x00实验室(查看原文) 阅读量:23 收藏

 声明:该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正!

实战打靶系列第 27 篇文章 

kaliIP:192.168.227.130                            靶机IP:192.168.227.135

主机发现

使用nmap进行主机发现:

image-20230630221005395

发现192.168.227.135为新增加的IP,即为靶机IP

端口探测

image-20230630221226662

image-20230630221416460

这里22端口运行着ssh服务,80端口和8082端口都运行着http服务,但是使用了不停的中间件搭建。

web服务

image-20230630221719862

image-20230630221748679

这里发现80端口和8082端口都运行着同一个服务。只是使用不同中间件搭建。

image-20230630222305065

界面源代码没有什么信息,使用dirsearch进行目录爆破,

image-20230630222700278

其中301的站点指向的网站不存在可以利用的功能点,基本以静态为主。

image-20230630222850217

在info.php界面就是一个普通的phpinfo界面。

image-20230630223209247

第一种get shell方法

这里尝试访问401状态码的网页,这类文件在服务器中存在,但是需要进行身份验证才能访问,这里访问system目录,这里是一个简单的网页验证,

image-20230630223450889

这里尝试弱口令admin/admin,成功登陆。界面如下:

image-20230630223528925

这里看到使用的是一个名为mantis的系统,在漏洞库里搜索一下,

image-20230630223807006

这里有很多结果,这里使用Password Reset脚本,查看一下脚本。

image-20230630224843188

这里给出了利用方法,根据自己的需求进行修改,主要修改ip地址和路径,写改后访问如下:

image-20230630224821161

在这里就可以直接修改密码,登陆后台,进行信息收集。

image-20230630225128341

在后台中找到用户账号密码,

image-20230630225312310

这里使用ssh进行登陆,

image-20230630225450952

成功反弹shell。

第二种get shell方法、

image-20230630230014152

这里看到有RCE漏洞,下载脚本进行利用。

这个脚本是运行在system界面,但是这个界面要进行身份认证才能进入,通过调试器发现进行身份认证以后会在请求头种生成一个信息,如下图的Authorization,

后面的base64就是我们输入的认证信息。

image-20230630230457588

image-20230630231052270

这里不仅要修改脚本种的信息,还要添加这个头部信息才能正常使用。整体修改方式如下:

image-20230630231958264

修改后执行,成功反弹shell。

image-20230630232028698

第三次get shell

对system目录执行目录扫描,但是这里要指定头部信息

image-20230630232345852

image-20230630232359469

这里有很多收获,在config目录中发现了a.txt。

image-20230630233151967

这里想到

image-20230630232717192

image-20230630233346817

用得到的用户名密码进行登陆,登陆后如下:

image-20230630234228927

看到数据库中存在的表,这里主要关注mantis_user_table表,直接将表中的数据查询出来,

image-20230630234319798

这里可以进行ssh登陆,同第一种方法。

提权

这里只有一个可以执行重启指令的权限,不用密码

image-20230630234447324

这里猜测提权可能与重启有关,这里直接搜索我们可以有写的权限的文件并且属主为root的文件。

image-20230630235032312

image-20230701001621727

这里进行一下筛选,结果如下:

image-20230630235307612

很明显这里可以利用的是最后一个文件,首先查看文件内容。

image-20230630235435258

这里是一个执行脚本,看起来应该是开机自动执行的脚本,编辑脚本,反弹shell

image-20230701001451743

本地监听4444端口,收到shell,提权成功

image-20230701001558384

渗透结束。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MDY2MTUyMA==&mid=2247491417&idx=2&sn=5f03f4968a60a33003edf97e3d0fd49d&chksm=cfd860a6f8afe9b0ec2d79e83c546cebe9bb8f676030939f2de7cbf2be3fead6ec3a69bf7f21#rd
如有侵权请联系:admin#unsafe.sh