内容简介:hello,大家好!最近还是一样工作忙到飞起,但是也挤出时间来更新靶机文章,本次文章,小弟就发4个靶机的writeup了,如果写的不好,烦请各位大佬斧正!born2root:2 下载地址:
前言
hello,大家好!最近还是一样工作忙到飞起,但是也挤出时间来更新靶机文章,本次文章,小弟就发4个靶机的writeup了,如果写的不好,烦请各位大佬斧正!
靶机安装/下载
born2root:2 下载地址: https://pan.baidu.com/s/1DPaMqKZDSFA1tcVJCscLew
unknowndevice64: 2下载地址: https://pan.baidu.com/s/117NQkFfcXdtjHX2WxPExsA
实战
born2root:2
第一步还是一样,探测靶机IP
靶机IP:172.16.24.88
下一步老规矩,nmap 探测一下端口
可以看到开放了3个端口,我们还是先看80端口
在首页上翻了翻,也看了下源码,没什么突破口和可利用的,
下面我们还继续跑目录
可以看到其开启使用了/joomla 框架
我们使用joomscan跑一下看看
可以看到没什么突破口
下一步我们的思路是使用cewl 爬取网站生成一个字典包吧(图中IP是测试时候的,懒就没重新弄了)
下一步我们抓包爆破一下吧
爆破成功,成功拿到账号密码 admin – travel
成功登陆到后台,
下一步就是拿webshell
步骤如下
1.
2.
3.
把webshell 写入保存
4.
勾选点亮五角星
访问/joomla, 即可拿 shell
下一步是提权,我们随便翻翻…
在 /opt/scripts/fileshare.py 看到了这个
拿到ssh 账号密码 tim – lulzlol
使用ssh,成功登陆
到了这里,我们还不是root权限,然后习惯性 sudo -l
不用密码?
然后成功拿到root权限,拿到flag
本靶机完!
unknowndevice64: 2
通过上面靶机开启界面就可以看出其是一台Android设备
第一步还是一样,探测靶机IP
靶机IP:172.16.24.73
下面还是nmap 探测一下开放端口
可以看到靶机开放了3个端口,分别是 5555 、6465、12345
第一个解题方法:
5555端口是安卓的adb服务,我在前面的一篇文章中利用过,文章地址: https://www.anquanke.com/post/id/158937
这里这个靶机同样存在该漏洞,我们利用一下
1.先链接adb
2.直接连接
连接成功,直接su 拿root权限
第二个解题方法:
第一个方法比较简单,下面我们来演示第二种解题方法
我们把目光放在12345端口上,我们先确认一下它是个什么服务,我这里就直接简单的使用 curl 一下
可以看到有非常明显的 html标签,我们使用浏览器打开
一个登陆框,我肯定是想到准备抓包的,但是是这样的。。。
没办法…. 只能手工的试一些常见的账号密码,结果一小会,成功试出了账号密码
administrator – password
成功登陆,
继续摸索,有 /robots.txt
继续跟进
如上图中可以看到,该 php 里是有一个ssh的key文件,我这里单独保存出来
下面直接ssh连接
但是这里还是需要输入密码否则无法登陆,
小弟在这里卡里一会儿,使了好几个密码,都不行,然后又重新查看下载来的info.php,在最后注释出发现了这个
最后才成功登陆
成功提权并拿到flag
本靶机完!
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 渗透测试实战-DC-1:1靶机入侵+Matrix2靶机入侵
- 渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵
- 渗透测试实战-eric靶机+HackInOS靶机入侵
- 渗透测试实战-lin.security靶机+Goldeneye靶机入侵
- 渗透测试实战-ROP靶机PWN+SolidState靶机入侵
- 渗透测试实战——unknowndevice64-1靶机+Moonraker靶机入侵
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
