Linux/Paper

Paper

Enumeration

nmap

第一次扫描发现系统对外开放了22,80和443端口,端口详细信息如下

可以看到三个端口的详细信息,22端口运行着ssh服务,80端口运行着http,而443为https,可以访问web进一步获取信息

HTTP

访问http服务,只看到了一个默认的首页

但是在burpsuite的响应中,发现有一个X-Backend-Server标头,其值为office.paper,网络服务器可能用到了虚拟主机路由,在/etc/hosts中添加相关条目,以便访问服务

bash 复制代码
echo "10.10.11.143 office.paper" | sudo tee -a /etc/hosts

现在尝试访问域名

在页面最下方可以得知使用了wordpress,然后也看到其中一篇帖子有如下的评论

其他的暂时没有发现什么东西,因为已经清楚目标使用的是wordpress,可以利用wapplayzer来获取版本信息,可以得到版本为WordPress 5.2.3,然后搜索关键字时,发现该版本WordPress存在未经身份验证查看私人帖子的漏洞,而刚才评论中也提到了一些秘密的东西,可以尝试利用该漏洞来查看

Exploitation

WordPress Core < 5.2.3 - Viewing Unauthenticated/Password/Private Posts

该漏洞编号为CVE-2019-17671,在expdb中有对应的漏洞利用说明

尝试拼接url,然后得到如下结果,可以看到有一个新员工聊天系统的秘密注册url,在/etc/hosts文件中添加chat.office.paper域名

访问该域名,可以进入一个名为rocket.chat聊天软件的注册页面,填入相应的信息,然后点击注册

点击注册按钮,会自动跳转登录,在左侧顶部可以看到一个#general群聊,群聊中有很多内容,但是显示只能读取,在聊天室中,看到一个人输入了"recyclops help",然后出现了一个机器人

并且该机器人还能执行更多操作,其中一条写着可以让它列出文件,但是群聊是只读的,尝试创建一个聊天,并利用指令

搜索时发现了recyclops,可以直接与其对话

输入list会展示目录,输入ls报错,并提示输入help来查看可以使用的命令

可以遍历目录,file可以打开文件,打开/etc/passwd文件

除了上图所示,还发现了两个用户,rocketchat和dwight,又在../hubot/.env中发现了一组凭据,recyclops是这个机器人的名字,而这个机器人又是dwight创造的

考虑密码复用,看看该密码能否以dwight身份登录ssh

bash 复制代码
crackmapexec ssh 10.10.11.143 -u dwight -p 'Queenofblad3s!23'

可以看到能成功登录,然后可以拿到user.txt

Privilege Escalation

使用linpeas收集系统信息,先部署http服务,然后下载到目标主机

为其添加执行权限,然后运行,之后可以对照hacktricks给出的文章来检查

CVE-2021-3560 polkit

此攻击是针对 polkit 的定时攻击,通过在正确的时间终止进程,最终会跳过身份验证并允许执行诸如使用sudo privs创建帐户和设置密码等操作。

可以找到PoC,然后将其下载至目标主机

为脚本添加执行权限,然后执行脚本,成功后,就可以切换至secnigma用户,密码为secnigmaftw,secnigma是wheel组的成员,本组允许用户执行sudo命令,切换至root即可

相关推荐
white-persist37 分钟前
Burp Suite模拟器抓包全攻略
前端·网络·安全·web安全·notepad++·原型模式
网安小白的进阶之路6 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-3
网络·安全·web安全
安当加密6 小时前
基于PostgreSQL的TDE透明加密解决方案:构建数据全生命周期的国密合规安全体系
安全·postgresql·区块链
源文雨8 小时前
MacOS 下 Warp ping 局域网设备报错 ping: sendto: No route to host 的解决方法
运维·网络协议·安全·macos·网络安全·ping
周某人姓周8 小时前
安全初级(二)HTTP
网络协议·安全·http
Hello.Reader9 小时前
在运行中的 Kafka 集群渐进式启用安全零停机实战手册(KRaft/Broker 通用)
分布式·安全·kafka
国科安芯12 小时前
关于软错误的常见问题解答
单片机·嵌入式硬件·安全·硬件架构·软件工程
小红帽61513 小时前
使用burp工具的intruder模块进行密码爆破
网络·安全·html
老赵聊算法、大模型备案14 小时前
2025年6-8月中国大模型备案分析报告
大数据·人工智能·安全·语言模型·aigc
独行soc17 小时前
2025年渗透测试面试题总结-102(题目+回答)
网络·安全·web安全·网络安全·adb·渗透测试·安全狮