发现靶机
信息收集
端口信息:
GG,爆破了一圈,无果,看了一眼别人的wp(真就一眼,多一眼我就把键盘吃下去),原来还有“端口碰撞”这种东西,以前只听说过,根本没见过,久而久之也忘记这种东西的存在了,现在算是见识到了
ssh直接连接会显示”knock friend to enter”和”easy as 1,2,3”,这句话其实需要我们使用端口碰撞1,2,3端口
(端口碰撞: 端口上的防火墙通过产生一组预先指定关闭的端口进行连接尝试,一旦接收到正确的连接尝试序列,防火墙规则就会动态修改,以允许发送连接尝试的主机通过特定端口进行连接。)
使用nmap端口碰撞目标
再次扫描端口,发现开放了1337的http服务
渗透测试
打开1337端口,发现就这玩意
目录扫描结果
images目录里看到了3个图片,下载回来一个个分析,发现没啥diao用
然后。。。。。又看了一眼wp…….(下次一定吃),发现还有个robots.txt文件,但是为啥没扫出来呢?而且这显示的还是个图片,和正常的robots协议不一样(难道是htaccess将txt后缀解析成html?)
查看页面源码发现一段base64,双重解出来结果如下,是个路径
打开目录http://172.21.137.247:1337/978345210/index.php,是个登录页面
爆破无果,但是试出来个时间盲注
开始跑库了,时间盲注是真的慢,最后不得不—time-sec=2稍微快一点
数据库:
python3 sqlmap.py -r 1 --dbs --flush --batch --time-sec=2
表:
python3 sqlmap.py -r 1 --batch --time-sec=2 -D Webapp --tables
字段:
python3 sqlmap.py -r 1 --batch --time-sec=2 -D Webapp -T Users --columns
数据:
python3 sqlmap.py -r 1 --batch --time-sec=2 -D Webapp -T Users -C username,password --dump
username | password |
---|---|
gimli | AndMyAxe |
legolas | AndMyBow |
aragorn | AndMySword |
rodo | iwilltakethering |
smeagol | MyPreciousR00t |
用上面的账号密码组合一下生成个字典跑一下ssh,结果如下:
ssh进去瞧瞧
内核提权
老规矩,传suggester,内核提权