主机发现
端口及服务扫描
得知ftp可以匿名登录
登录一下,匿名登录用户名为anonymous,密码默认为空
FTP允许匿名账户登录,但登录之后文件夹是空的。
ssh远程登录,不知道密码,弱口令也无果
3389(XRDP)远程桌面:未发现可利用的地方。
8065端口:运行Mattermost。搜索默认账号密码,发现MySQL账号和密码:默认账号和密码为root/123456;未发现应用系统的默认账号密码。
对于登陆页面:
1.SQL注入可以sqlmap走一波
2.弱口令爆破
访问80端口的首页,提示你有一个README.md文件
Dirsearch扫描目录无果
之前使用nmap是tcp扫描,现在换成udp扫描。
TFTP是用来下载远程文件的最简单网络协议,它基于UDP协议而实现。
通过远程下载获取README.md
得到密码
回到8065端口的界面,通过admin登录
先将语言调成中文好看一点
找找上传的接口,或者修改某些参数可以反弹shell的点。很不幸,没找到。
找到头像上传点。传文件上去后发现找不到让图片马解析的位置。放弃。
随便翻翻,在系统控制台发现了了一个网址
启用插件后访问
得到FTP服务的用户名和密码
再次使用ftp登录,得到文件message
得到了新的口令,尝试ssh登录,用户名mattermost
登录成功
发现,文件在当前用户的家路径下去看看。查看了一下secret发现?哎?全
都是乱码。那在看看README.md关键点来了。它告诉我有秘钥?然后跟命
令历史记录对上了。那就是给刚才文件用的。那执行一下这个文件。提示
秘钥不对
用nc将secret传输过来
使用Ghidra获得源码。从源码中看出,是将输入的密码(int)与0xf447(16进制)进行比较,相等时进行提权操作。
提权成功
总结一下,学到了,ftp,tftp远程传输的利用,3389远程桌面连接,
在tcp端口利用无果下,可以扫描udp端口尝试利用