noone___'s blog
0%

发表于 分类于

  • 扫描打点

    匿名连一下 ftp

    get 下来看一下,发现有密码, fcrackzip 爆破试试:

    1
    fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

    得到密码 072528035,解压得到两个文件:

    至于这句话什么意思不知道

    还有个 secret.zip 爆破不出来

    看 $80$ 端口,根据主页得到两个可能有用的用户名 travisscott thuggernmap 提示有 robots.txt

    看到 ssh 的密码是这个歌词里面的黑哥词汇拼一块再 md5

    看起来是最尊重的一集:

    78f342d0dea18391b7f6cbde99a2718f

    然而两个用户名都没登上,继续看别的:

    robots.txt 中的另一个地址 /etc/dripispowerful.html 登不上去,但理论上应该可以访问到的

    试了试文件包含也看不到,偷看wp发现这里要用 drip 参数名:

    得到了个密码 imdrippinbiatch感觉攻击性有点强吧

    用这个密码连 sshthugger:imdrippinbiatch

  • 提权

    • sudo -l

      无权限

    • find / -perm -u=s 2>/dev/null

      好多东西,看了一圈没看到什么特殊的

    • uname -a

      Linux drippingblues 5.11.0-34-generic #36~20.04.1-Ubuntu SMP Fri Aug 27 08:06:32 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

      但没有 gcc 环境,不能提权

      耻辱看wp,发现这里要 ps aux 查看进程,然后找到这个东西:

      感觉是纯要经验吧,没经验真找不到(?

      要利用 polkit 的漏洞

      以马后炮的经验来看,在必应搜索 linux中可用于提权的进程 的第三页可以看到这个框架的相关信息

      找到这个 poc 的相关信息

      然后当脚本狗 不用脚本我手打吗

      所幸靶机上有 python 环境

      然后本地开服务器,wget 到脚本,运行即可提权

发表于 分类于

  • 扫描打点

    $80$ 端口是 qdPM 9.2

    根据第二个密码泄露的 poc ,找到:

    qdpmadmin:UcVQCMQk2STVeS6J

  • 丑陋的找密码 ssh 连接

    翻找一下:

    SELECT table_name FROM information_schema.tables WHERE table_schema='qdpm';

    下面有个 users

    SELECT column_name FROM information_schema.columns WHERE table_schema='qdpm' AND table_name='users';

    好像找错地方了,应该来这里:

    解一下:

    1
    2
    3
    4
    5
    Smith:X7MQkP3W29fewHdC
    Lucas:suRJAdGwLp8dy3rF
    Travis:DJceVy98W28Y7wLg
    Dexter:7ZwV4qtg42cmUXGX
    Meyer:cqNnBWCByS2DuJSy

    这里佬建议爆破一下,因为 user_id 没有显示出来,我上面是拿 user 表的 iduser_id

    crackmapexec ssh 192.168.56.104 -u user.txt -p pass.txt

    结果是全错(乐

    队友用小写试了一下,能连上两个(难蚌):

    1
    2
    dexter:7ZwV4qtg42cmUXGX
    travis:DJceVy98W28Y7wLg

    登录第一个看到对提权的提示:

    第二个存了 user.txt

  • Linux 提权

    find / -perm -u=s 2>/dev/null

    看到了奇怪的东西

    这里思路跟 Kenobi 很像一样,先用 strings 看下里面的命令

    然后经典并非绝对路径: