星星博客 »  > 

DRIFTINGBLUES: 6 writeup

主机发现&端口扫描

netdiscover -i eth0

nmap -sV -p- 192.168.151.131

只开了80端口

目录扫描

有robots.txt

发现一个disallow的文件,当然是要去看一看,是一个登录框。

先放一放,去扫描下他提示的zip后缀文件。(gobuster很好用

去下载这个文件,然后解压,解压的时候发现需要密码,里边的文件叫creds.txt,那可能是登录凭证了,那必须要破解一下了。

使用john破解zip文件密码

首先使用zip2john命令爆出hash文件

然后使用john命令,计算hash文件

yep,很快,秒出。mayer:lionheart  

回到web站点

使用上一步的账号密码来登录刚才的站点,登录成功。但是这个像是报错。应该是timezone的问题。

在我想怎么解决这个问题的时候,发现其实可以一直点ok,然后忽略,不知道之后会不会涉及到,先这样。站点长这样。

php站点,感觉可以找地方写php-reverse-shell.

漏洞查找

先随便点点,发现这个cms的版本。

去search一下

巧了吗这不是。一把梭来一下。

看下这个py文件的用法。

确实没那么顺利。开始解决问题

回看脚本,他会自己给你加一个testpattern

所以url参数就不用加那么多textpattern了,ok解决一个问题,已经成功登录了。

好了太麻烦了(我猜跟那个timezone有点关系),还是看脚本啥意思吧,大概就是在这里上传一个脚本文件。

Getshell

传一个php-reverse-shell

访问这个文件并开启监听

回弹,yep。

提权

啥也别说了,先翻文件,甭管有用没用。

$txpcfg['db'] = 'textpattern_db';
$txpcfg['user'] = 'drifter';
$txpcfg['pass'] = 'imjustdrifting31';
$txpcfg['host'] = 'localhost';

连数据库之前记得用交互式shell

只有这一个用户,看到个邮箱,不知道有啥用,留着吧。

奥对还有一个mysql的版本

-u=s看一看

端口开放看一看

linux 版本看一看

应该就脏牛了吧

靶机有gcc 送到靶机去gcc

主机开python,靶机去tmp下载

gcc之后执行

yep

好的,恢复训练,午安,吃饭去辽。

相关文章