10.10.10.111
scan
1 |
|
web
nikto
1 |
|
searchsploit
1 |
|
wget
1 |
|
发现一个登陆表单
1 |
|
9999目录发现
1 |
|
是一个登陆表单
有3次登陆错误尝试限制
curl http://10.10.10.111:9999/admin/
之所以用curl,就是可以很方便的查看源代码
curl http://10.10.10.111:9999/admin/js/login.js 源码中以明文给出了登陆口令。admin/superduperlooperpassword_lol
登陆后,有一串不明所以的字符
考验一点密码学的知识
google “ook decode”,访问在线密码破解https://www.dcode.fr/ook-language
获得一个目录/asdiSIAJJ0QWE9JAS
curl http://10.10.10.111:9999/asdiSIAJJ0QWE9JAS/ -o unknown
疑似base64编码,sed去除换行符,base64解码并且保存为someformat
1 |
|
用password作为密码,解压缩得到index.php
查看后,搜索hex to ascii
然后base64解码一次
然后搜索brainfuck decode,在线解码
获得一个口令idkwhatispass
1 |
|
获得口令:admin/imnothuman
尝试登陆
1 |
|
1880目录发现
1 |
|
139、445
1 |
|
picture2, 查看共享的硬盘,服务版本为:Samba 4.3.11-Ubuntu
searchsploit samba 4.X,查看是否有rce的exp,没有。
smbmap -H 10.10.10.111
对目标硬盘进行访问,发现没有查看权限
获得webshell
https://www.rapid7.com/db/modules/exploit/multi/http/playsms_uploadcsv_exec
1 |
|
获得www-data的shell
find / -name “user.txt” 2>/dev/null
总结
提权不会了。以后学一下缓冲区溢出的东西。
最近怎么老遇到CTF类型的靶机,下回得看清楚再做。。