THM-Game Zone(游戏区)

首先使用ping命令查看网络连通性

侦查

对靶机进行初步端口扫描

开放22\安全外壳80\Web服务,访问Web页面

这应该是一个游戏的论坛,尝试使用Google识别主页黑色衣服的人物是谁

不过这些对于我们来说作用并不是很大,可能Agent是用户名,或者用户名的一部分

爆破数据库用户名和密码

对登录表单尝试使用万能用户名' or 1=1 -- 登录

登录成功后跳转到了portal.php页面

猜测这应该是一个在该论坛搜索的页面,使用sqlmap跑一下

首先使用burpsuite抓取请求头的数据包,并将该数据包保存到名为sqlmap.txt

然后使用sqlmap读取该请求头,并进行爆破

sqlmap -r sqlmap.txt --dbms=mysql --dump

最后得到以下数据

数据 内容
数据库 db
userspost
用户名 agent47
密码 ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14

得到了密码是加密的,我们需要对该密码进行解析,这里使用hash-identifier识别密码加密类型,使用john破解加密密码

识别类型为sha512加密,破解出密码为videogamer124

使用撞库登录服务器

使用撞库,尝试使用SSH尝试登录破出的mysql用户名,登录成功

端口转发

登录后使用ss -tunpl查看靶机端口的开放情况
ss命令介绍

参数 作用
-t 显示TCP套接字
-u 显示UDP套接字
-l 仅显示侦听套接字
-p 显示使用套接字的进程
-n 不解析服务名称

看一看出一个用开放了5个TCP端口,两个22\SSH分别是IPV4和IPV6,其中一个本地的3306\Mysql,一个80\Web服务

最后一个是很重要的我们没有扫描到的端口10000,使用namp对改端口进行单独扫描

扫描改端口是关闭的,猜测被防火墙拦截

我们使用SSH -L隧道技术进行端口转发

-L是本地隧道 (YOU <-- CLIENT)。如果某个站点被阻止,您可以将流量转发到您拥有的服务器并查看它。例如,如果 imgur 在工作中被阻止,您可以执行 ssh -L 9000:imgur.com:80 user@example.com。在你的机器上访问localhost:9000,将使用你的其他服务器加载 imgur 流量。

-R是远程隧道 (YOU --> CLIENT)。您将流量转发到另一台服务器以供其他人查看。与上面的示例类似,但相反

我们的本地机器上,运行ssh -L 10000:localhost:10000 <username>@<ip>

这段代码的完整是ssh -L 本机IP:本机端口:目标IP:目标端口 SSH用户名@目标IP,意思就是将本机指定的IP的端口使用SSH -L端口转发,转发到
SSH连接目标指定的IP和端口

说白的就是访问本机的10000端口,就是访问指定目标的10000端口

执行后再看本机是否开放10000端口

权限提升

现在访问本机的10000端口就是靶机的10000端口

发现又是一个登录页面,使用刚刚得到的用户名和密码尝试登录agent47videogamer124

登录成功,并得到该服务的版本为Webmin 1.580,使用searchsploitexploit-db.com找到了对应的漏洞

提示我们metasploit可以直接利用,启动msfconsole

配置完成的界面

运行提示我们报错,没有SSL的错误,查看配置发现默认启动了SSL选项,关闭后再次运行


漏洞利用成功!

posted @ 2023-03-30 09:42  Junglezt  阅读(103)  评论(0编辑  收藏  举报