2020年的第一个上线靶机
目录爆破一下发现很多栏目页面,在music页面下发现了login,直接跳转到ona目录下
尝试admin、admin弱口令,虽然成功但是对于权限没有什么改变,依然是guest,至于为什么没有改变可以进入到www-data权限后在某个配置文件下找到原因。
查了半天发现ona是OpenNetAdmin,是一个IP网络地址和主机管理系统。并且版本是v18.1.1。存在可利用exploit,使用msf中的模块一直有问题,所以直接手动利用,具体利用可以上exploit-db。
向靶机植入反弹shell,建立会话
找到了关于数据库的配置文件
在/var/www目录下发现另一个叫internal的目录,属于jimmy用户。尝试泄露的数据库密码连接jimmy用户的ssh,成功登入
连接后查看Internal目录下的文件,发现同样是一个网站目录,其中功能是通过登录认证jimmy用户输出另一个用户joanna的rsa密钥
解密那一长串sha512得出明文是:Revealed。但是尝试访问页面发现自己权限被阻止的,毕竟我的权限是jimmy,只能继续寻找。在jimmy的根目录下发现个.viminfo文件,里面出现了关于apache2的Internal.conf文件的线索。直接cat这个配置文件
内容一目了然就是用joanna用户启动了个Internal的那个网站服务,监听端口是52846。也就意味着访问52846端口其实就是joanna权限去访问,访问页面得到joanna的rsa
解密rsa得到一个密码叫bloodninjas。
经尝试这个密码并不是joanna的ssh连接密码,而是利用密钥连接ssh时对私钥的验证密码。之后连接到joanna的ssh
使用sudo发现sudo命令可用,输入sudo -l查看权限
可以无需密码使用nano去编辑/opt/priv这个文件。直接sudo nano /opt/priv进入编辑器,Ctrl+R读取文件,输入文件路径即可查看所有root权限文件。
网友评论