靶机ip:10.10.20.169

信息收集

nmap扫描

nmap --min-rate 10000 -p- -sV -sC 10.10.20.169 -oN reports/namp

image-20241007155136615

发现开放21,80,10000,55007端口,55007端口运行着ssh服务

21端口

根据nmap的结果发现ftp可以匿名登录

ftp anonymous@10.10.20.169

image-20241007153622117

发现隐藏文件.info.txtget下来查看

image-20241007153721753

内容像是被rot13加密过的,尝试解密

image-20241007154328354

解密后发现是一个提示性的文字,告诉我们需要枚举

80端口

image-20241007155407443

默认页面是一个apache的初始页面

先扫描一下目录

gobuster dir -u http://10.10.20.169/ -w /usr/share/wordlists/dirb/common.txt

image-20241007160928359

发现很多有意思的目录,查看一下

robots.txt

image-20241007161041169

给的目录并没有内容返回都是404,重点看下面的一串数据

image-20241007162015403

解密后得到另一串数据99b0660cd95adea327c54182baa51584

看起来像md5数据,使用hashcat解密

hashcat -a 0 -m 0 hash /usr/share/wordlists/rockyou.txt

image-20241007162347491

解出来的数据是kidding,现在看来没什么用

manual

image-20241007162653988

是一个apache的文档,可以知道的是版本号是2.4

joomla

image-20241007162746149

这是一个cms

获取初始shell

刚才知道了是joomla系统,继续深入扫描一下目录

gobuster dir -u http://10.10.20.169/joomla -w /usr/share/wordlists/dirb/common.txt

image-20241007163606266

这次目录有点多

测试后发现只有几个有内容

image-20241007164554560

最重要的是这个,在/joomla/_test目录下发现有sar2html

使用searchsploit搜索一下相关漏洞

image-20241007165327179

用的是第一个,复制到当前目录

image-20241007165422004

查看内容后发现是在url处控制plot参数,通过值拼接实现RCE,利用一下

image-20241007170009665

命令执行成功

查看一下log.txt

image-20241007170050140

发现basterd用户使用密码 superduperp@$$通过ssh连接机器,我们之前扫描结果中ssh端口发现是55007

我们使用这个凭据尝试连接

ssh basterd@10.10.20.169 -p 55007

image-20241007170418958

连接成功,拿到basterd用户的shell

横向移动

image-20241007170545779

/home/basterd目录发现backup.sh文件

image-20241007170639847

查看后发现另一个用户stoner,以及密码superduperp@$$no1knows,直接登录stoner用户

image-20241007171142250

登陆成功

image-20241007171245935

/home/stoner目录下找到隐藏文件.secret,其内容就是user.txt

权限提升

image-20241007171442288

并没有什么可以利用的

使用find看看能否有提权的机会

find / -perm -u=s -type f 2> /dev/null

image-20241007171621747

发现有find,利用find命令提权

image-20241007171907091

提权成功

image-20241007171949819

同样在/root目录下获取到root.txt

image-20241007172143822