门户web渗透
用dirb扫描靶机目录
看到/A/应该是极致cms,还有/backup/
查看/backup/,发现信息泄露a.sql
搜索发现管理员账号密码
根据泄露的后台地址,登入后台管理页面,找能读写文件的地方
找到了一个在线编辑模板
点击配置进入文件编辑
上传一句话木马,连接哥斯拉
输入命令hostname -i查询到内网地址
内网渗透
上传隧道工具搭建socks5隧道代理
这里用的是Neo-reGeorg-5.2.0工具,直接上传设置好的tunnel.php,工具的具体使用方法可以访问(https://github.com/L-codes/Neo-reGeorg),执行工具搭建隧道
python /root/Desktop/Neo-reGeorg-5.2.0/neoreg.py -k dz -u http://172.30.7.56/tunnel.php
使用proxychains挂代理,编辑/etc/proxychains.conf在最后一行配置端口,隧道挂在了1080端口配置1080
用nmap或者fscan扫描c段,扫出192.168.3.97,访问发现医药管理界面
火狐配置socks代理访问
经过测试发现登陆口存在bool时间盲注,因为是post传参,抓包使用sqlmap -r更快一点,依次得到
登进去管理后台没发现什么利用点,扫描一下端口,发现开放22,80,9999端口,查看9999端口的信息发现是redis数据库,尝试redis未授权漏洞,写入shell
哥斯拉配置socks连接,执行hostname -i
再上传一个隧道工具搭建二级隧道
proxychains python /root/Desktop/Neo-reGeorg-5.2.0/neoreg.py -k dz -u http://192.168.3.97/tunnel.php -p 8888
二级内网穿透
修改proxychains配置文件
通过二级socks代理,扫描c段发现192.168.4.25:8080,修改火狐代理访问
根据URL判断,像是shiro反序列化,用shiro工具
爆破不出来秘钥,扫描目录发现www.zip源码泄露,审计代码发现秘钥
然后通过工具利用即可,工具地址为: https://github.com/SummerSec/ShiroAttack2