# 信息收集
渗透前先进行好信息收集准备,先用 nmap 看看 TCP 端口信息
sudo nmap -A 10.10.11.48 |
发现有 ssh 和 http 服务,其中 ssh 不存在匿名登录,查看 http 内容似乎也没有什么可以入手的地方
扫完 TCP 端口,那接下来就去看看 UDP 端口
sudo nmap -sC -sV -sU 10.10.11.48 |
发现 161 端口有 snmp 服务,而且存在 radius 协议
利用 snmpwalk,snmp 工具套件中的一个命令,通过遍历 snmp 设备的管理信息库来获取信息
snmpwalk -v 2c -c public 10.10.11.48 |
枚举系统信息成功发现 radius 服务器管理工具,目录扫描启动
dirsearch -u http://10.10.11.48/daloradius |
先去看看扫出来的文件里有没有可以利用的信息
.gitignore 涵盖了不希望被 git 跟踪的文件和目录
changeLog 记录项目中的所有更改历史
docker-compose.ymldocker 的配置文件
wow,含有 mysql 的数据库名和账密,也算是重要信息
后面的许可证和 readme 就省略了
接下来还是进行信息搜集,之前 dirsearch 还扫描出了下级目录,寻找一下能利用的点
先从 /app 开始
dirsearch -u http://10.10.11.48/daloradius/app |
扫出了 login.php! 总算是找到入口了?
有点搞笑了,还不是弱口令,想着继续找找吧,但是后面扫出的目录基本都是 301,一时间卡住了
后面被 wp 启发了思路,换用字典去爆破目录
dirsearch -u http://10.10.11.48/daloradius/app -t 50 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt |
还有一个 /operators 目录偷偷藏着,继续扫
dirsearch -u http://10.10.11.48/app/operators |
(漏截图了,扫出来还有一个 login.php)
可以看到最下面有 daloRADIUS 的小标,了解到是会存在默认账密这件事情
成功登陆
看到有用户列表,心心念念的账密这不就来了
拿到的密码显然是加密的,用 hashcat 去破解一下
hashcat -m 0 -a 0 hash.txt /usr/share/wordlists/rockyou.txt |
密码明文为 underwaterfriends
想到还有 ssh 服务没试,这下去尝试登陆一下
ftp svcMosh@10.10.11.48 |
芜湖,这不就进去了,直接拿下 user flag
# 提权
还剩下 root flag,想要拿到得要提权
sudo -l |
显示一下我们能用的 sudo 命令,发现有 mosh,并且允许用户在不输密码的情况下以 root 运行,这 mosh 提权不就来了
mosh --server="sudo /usr/bin/mosh-server" localhost |
拿到最后的 flag
