host:10.10.10.138
nmap 掃描一下 這次也嘗試了一下自己的選項和A 選項發現A 比自己設置的要好很多不過這樣被發現的機率也大了一些
自己配置的可以有很多降低被發現的選項
# Nmap 7.70 scan initiated Tue Aug 6 20:47:35 2019 as: nmap -A -o nmap.scan 10.
10.10.138
Nmap scan report for 10.10.10.138
Host is up (0.34s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey:
| 2048 dd:53:10:70:0b:d0:47:0a:e2:7e:4a:b6:42:98:23:c7 (RSA)
| 256 37:2e:14:68:ae:b9:c2:34:2b:6e:d9:92:bc:bf:bd:28 (ECDSA)
|_ 256 93:ea:a8:40:42:c1:a8:33:85:b3:56:00:62:1c:a0:ab (ED25519)
80/tcp open http Apache httpd 2.4.25 ((Debian))
| http-robots.txt: 1 disallowed entry
|_/writeup/
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Nothing here yet.
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap
.org/submit/ .
# Nmap done at Tue Aug 6 20:48:22 2019 -- 1 IP address (1 host up) scanned in 4
7.41 seconds
只有80,22端口
掃描信息裏有 writeup目錄robots.txt
但是根據index 頁面是一個維護中的web沒什麼信息
在掃描過程中有一個robots.txt 中一個disallow 頁面 所以去看了一下
在目錄爆破時發現 網站開啓了防止DOS 暫時沒辦法所以只能手動驗證
不過在爆破的時候發現一個admin然後發現了防止dos的存在
手動檢查 挨個看看源碼,源碼中有網站的CMS 信息 CMS Made Simple - Copyright (C) 2004-2019. All ri ghts reserved.
搜不過沒有獲得版本信息,但是獲得了最新版本是2.2.10
而且有一個CVE 2019 9053 <=2.2.9一下的sql注入漏洞 不出意外應該是可以使用
找到EXP 修改一下運行----拿到 憑證密碼加密(很常見)md5網站走一波
jkr用戶不過沒有進入admin突然想到還有一個22端口
ssh ${user}@${ip}
上傳LinEnum.sh腳本枚舉一下沒有什麼方向,隨後逛了一下論壇
都有提到在用戶登陸的時候會有特殊的進程出現 所以pspy 觀察一下並且另外ssh連接
2019/08/08 09:11:25 CMD: UID=0 PID=2565 | sh -c /usr/bin/env -i PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin run-parts --lsb
sysinit /etc/update-motd.d > /run/motd.dynamic.new
2019/08/08 09:11:09 CMD: UID=0 PID=2555 | /bin/sh /etc/update-motd.d/10-uname
2019/08/08 09:30:11 CMD: UID=0 PID=3058 | /usr/bin/python3 /usr/bin/fail2ban-server -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2
an.pid -b
2019/08/08 09:30:11 CMD: UID=0 PID=3066 | iptables -w -I f2b-apache-404 1 -s 10.10.15.64 -j REJECT --reject-with icmp-port-unreachable
2019/08/08 09:30:11 CMD: UID=0 PID=3059 | /bin/sh -c iptables -w -n -L INPUT | grep -q 'f2b-apache-404[ \t]'
觀察到第一個進程 UID爲0 root
sh -c 執行一個命令 ENV 環境變量的設置 -i 以空的環境變量開始
並且之後又設置了一個環境變量 PATH=/usr/local/sbin/.....等
執行命令 run-parts --ls.... /etc/update-motd.d >.....
查看了一下 /usr/local/sbin 目錄的權限
查看一下 /usr/local/sbin 可以寫但是不可以讀staff 用戶
編輯一個run-parts 文件給相應權限,放入一個反彈shell的腳本
拿到root flag