LampSecurity CTF5¶
知识整理 |
---|
外围信息收集 |
任意文件写入漏洞 |
后渗透信息收集 |
usershell¶
目标IP:192.168.205.138
端口信息
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
139/tcp open netbios-ssn
143/tcp open imap
445/tcp open microsoft-ds
901/tcp open samba-swat
3306/tcp open mysql
51127/tcp open unknown
Web服务为Drapul
,在页面上存在很多跳转,其中Blog
跳转到一个NanoCms
查找漏洞
http://www.securityspace.com/smysecure/catid.html?id=1.3.6.1.4.1.25623.1.0.100141
密码hash
泄露
http://192.168.205.138/~andy/data/pagesdata.txt
果然泄露了密码的hash
值,cmd5
解密明文为shannon
,所以接下来以admin:shannon
登录后台
exploitdb
中也描述 NanoCms
存在任意文件写入漏洞,在后台添加一个页面,Title
为文件名前缀,Content
为文件内容
http://192.168.205.138/~andy/data/pages/2.php
,反弹shell,拿到apache
权限
rootshell¶
主要考察对目标现有文件的收集
在/home/patrick/.tomboy/481bca0d-7206-45dd-a459-a72ea1131329.note
存放着root
用户的密码
su
切换过去即可
自动化枚举grep -R -i password /home/* 2> /dev/null