当前位置:网站首页>vulnhub之tre1

vulnhub之tre1

2022-07-07 17:53:00 梅_花_七

目录

一、主机发现

二、端口扫描

三、服务版本发现

四、信息收集

1.80 和 8082

2.目录爆破

五、突破边界

1.尝试利用mantis 的RCE漏洞

2.进阶目录爆破,大量信息收集

 3.Pre-Auth Remote Password Reset

 六、shell脚本提权

1.shell语法

2 .check-system

3. 写入反弹shell语句

4.重启触发

注意:尽量使用vmvare来部署靶机,并且网络模式选择NAT模式。

一、主机发现

二、端口扫描

三、服务版本发现

22 ssh

80 8082 都是开放了一个http服务但是是用了不同的web服务器软件。

四、信息收集

1.80 和 8082

都是开放了http服务,并且部署了相同的一个站点,一样的页面。源码中没有可用的信息。,

2.目录爆破

(1)adminer.php

 (2)info.php

知到了一些配置文件路径地址,网站环境等。

 (3)system

返回码401,访问站点需要登录,我们尝试了弱口令admin/admin成功进入

(4)返回数据包

在响应数据包中的这条就是用来验证身份的。

Authorization:Basic YWRtaW46YWRtaW4=

五、突破边界

1.尝试利用mantis 的RCE漏洞

cp到本地来,更改exp的rhost ,lhost,mantisloc ,加入验证头部,然后执行

 

nc -nvlp 4444

2.进阶目录爆破,大量信息收集

就是加上验证头部后进行爆破

dirsearch -u url --header="Authorization:Basic YWRtaW46YWRtaW4="

有很多新的路径。

(1)config

我们拿到了数据的账号密码,名字。结合之前adminer.php界面,尝试登录

 (2)登录后收集信息

在这里我们可以发现原有账号和我们注册的账号,在之前的注册中,我们并没有输入密码,所以推断处空的这一栏就是密码。去尝试ssh登录

 

(3)ssh登录

 3.Pre-Auth Remote Password Reset

是一个预授权远程密码修改的漏洞

这里也有介绍用法,就是这个远程密码修改是要hash验证的,但是我们修改为空,直接绕过了

登录到管理员用户状态下,我们也可以看到这个账号密码,然后通过ssh登录。

 六、shell脚本提权

1.shell语法

find / -user root -type f -perm -o=rw -ls 2>/dev/null | grep -v "/proc"

check-system不是系统自带命令,可以,去查看。

2 .check-system

启动时启动的程序由systemd系统和服务管理器控制。 systemd是启动时运行的第一个进程。 它始终具有进程ID (PID)1。计算机中正在运行的所有其他进程都是由systemd启动的,或者由systemd已经启动的进程启动。结合上面的sudo权限,猜测可能与开机的启动有关

3. 写入反弹shell语句

4.重启触发

 

 

原网站

版权声明
本文为[梅_花_七]所创,转载请带上原文链接,感谢
https://blog.csdn.net/weixin_54431413/article/details/125645722

边栏推荐

猜你喜欢

随机推荐