[Vulnhub]渗透-M87:1

最近还是PWN和渗透以及代码审计一块儿来把

0x01 Information Gathering

简简单单看个端口。

简简单单扫波目录。

前台如上

这是后台。

9090端口好像是个web版的服务器管理系统Cockpit。

梳理一下,基本只开放了web服务,并有三个登录框,分别是9090端口、80端口的admin以及admin/backup。

0x02 SQLi

9090端口的cms倒是有一个SSRF,但是版本好像不匹配,80上面运行的是个啥cms也没弄清楚,爆破也没爆出来后台的账号密码。

不得不说这个backup很可疑…抓个包看看。

看起来也没什么不对劲,但就是很奇怪- -,用wfuzz跑一下GET参数把:

看到大部分长度是161W大小,就用hw参数就可以了。

好家伙,反手就是一个id测一下sql注入。

妥了,爆字段:

也是,就一个username…爆啥字段…

所有的username以及password先保存下来作为字典。经过burpsuite爆破并没有能登陆admin以及backup的账号密码。

0x03 LFI

WFUZZ没有fuzz出来这个参数。本来想伪协议RCE但是没成功,连filter读代码都没反应。

不过又给字典user.txt补充了一下内容。

0x04 Intruder

打算对9090端口的管理系统爆一波

发现Authorization字段,是base64(username:password)形式的。

如上所示,burpsuite选择payload形式为custom iterator,第一位是username第二位是冒号第三位是password并进行base64编码。

先弹个shell

0x05 Privilge Escalation

没啥能利用的看起来。

说实话我本来真不知道capabilities这个机制。

看一下这个/usr/bin/old是个啥。

直接调用os.setuid(0)提权即可。

Leave a Reply

Your email address will not be published. Required fields are marked *

five × 5 =