BabyPass靶机渗透

攻击机IP:10.120.18.149

靶机IP:10.120.19.124

端口扫描

得知开放ssh服务、web应用服务、Linux系统版本

复制代码
nmap 10.120.19.124 -sV -p- -A
目录扫描1
复制代码
gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://10.120.19.124:80/ -x php,html,txt -e
web漏洞测试1

空白页面查看源码

第一句tms应该是目录

第二句暂时不知用意,但是可能暗示着什么(等下会起到关键作用)

文件包含漏洞测试,不存在

SQL注入漏洞,不存在

注册账号测试,没无越权、文件上传和特殊功能

目录扫描2
复制代码
//在http://10.120.19.124:80/的基础上加上了个/tms/目录 
gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://10.120.19.124:80/tms/ -x php,html,txt -e

web漏洞测试2

发现Readme.txt文件,查看信息,收获两个账号和密码,还有说了一下mysql数据库,可能是提权的关键

复制代码
//账号1 
admin 
Test@123 
//账号2 
anuj@gmail.com 
Test@123
打入内网

Web应用登录测试没什么收获,想起了之前的"Do not use sname password"和开放的ssh服务,可能这两个有关联,尝试登录,结果登录成功

尝试反弹shell,发现没有nc命令

拿到user的flag,flag为flag{user-0bb3c30dc72e63881db5005f1aa19ac3}

内网提权

使用hydra爆破root的ssh,时间好久

上传linpeas.sh扫描提权方法,可扫描进新到Cloud就会停止扫描

手工信息收集和提权

cat /var/www/html/tms/tms.sql 破解md5有两种密码123/Test@123

cat /proc/version 查看系统版本,用searchexploit没查到

sudo -l 查看权限信息,被禁用了无法查看

/usr/share/php8.3 "pcntl_exec('/bin/bash','-p');" 失败

/usr/share/php8.3 "posix_setuid(0);system('/bin/bash');" 失败

失败告终

观察整理
复制代码
ls -al /var/www/html/tms/include/

发现config.php文件,查看一下,得到了数据库的账号和密码

复制代码
账号:tms_user 
密码:secure_password

尝试登录,成功登录

复制代码
mysql -u tms_user -psecure_password

查看管理员和用户表内信息,发现root用户及其md5密码fd50619cd7026f0f32272f77f4da6e92

复制代码
select * from admin;select * from tblusers;
破解md5密码
复制代码
https://toolshu.com/hant/crackmd5
尝试ssh服务登录root账户,登录成功
复制代码
ssh root@10.120.19.124

拿到rootflag,flag为flag{root-bb289959b86dd81869df2eb9a7f3602a}

相关推荐
米小虾6 小时前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia18 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
RainCity5 天前
Java Swing 自定义组件库分享(十二)
java·笔记·后端
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
LinXunFeng12 天前
Obsidian - 使用 Share Note 分享笔记并自部署
前端·笔记·github
Aphasia31115 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全