群友靶机-靶机Griffin-CSDN博客

本文链接：https://blog.csdn.net/god_protect_me/article/details/149255675

日常聊一聊

我们就直接开始吧，最近也没啥事哈哈哈，依旧hmv，或者Mazesec | Home

Get user shell

扫IP，端口

arp-scan -l

nmap -sV -p- -O 192.168.5.50

哟，8080端口，看看哈

额，没东西哈，就是一段文字，来扫目录看看有什么

dirsearch -u http://192.168.5.50:8080

就一个info文件，不对啊，明明还有一个debug目录，怎么扫不出来了，参数工具的问题哈就不管了哈哈哈，回头我巴拉巴拉弄弄，就是还能扫出来一个debug目录

翻译过来就是一个令牌，可能有用，那看看还有啥呢，debug就是首页信息没东西了，然后就开始乱扫扫，也没东西，就卡住了，恰巧，因为渗透操作脱不了要刷新页面哈哈哈你看

刷新一次一个样，刷新一次一个样，哈哈哈，就碰巧看到了！哈哈哈，那debug是不是也有这个呢

还真有，刷新了后，显示没有令牌，刚刚有三个令牌，那就拼接，这里就要爆破拼接的可执行函数是什么？后面是cmd啊还是command啊，又或者system等等

wfuzz -w /usr/share/seclists/Discovery/Web-Content/common.txt -u http://192.168.5.50:8080/debug?FUZZ=CyberCorpDebug123 --hh 160,23

OK出来了哈，就是网页提示的token，那就试，还好一共就三个token对吧，看看哪个有回显，OK，就是cybercorpdebug123有用，然后又提示没有command，那就不爆破了有理由相信就是command了

还提示没有命令怎么回事，那还得爆破？？？

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt \
  -u "http://192.168.5.50:8080/debug?token=CyberCorpDebug123&FUZZ=id" \
  --hh 160,19

呵，run啊，不是command，感觉自己被耍了一样哈哈哈，算了，起码爆出来了，那就可以执行命令了，id命令显示成功了，那就弹shell

成功弹过来，但是怎么一进来在root文件夹下啊，这给我整的，bug吧应该

Get root shell

那就提权三部曲，第一个sudo -l就有回显了

一个开始一个结束，一个查看一个log，可能能控制什么开启关闭吧，然后什么东西都干不出没什么方案，

什么意思啊，这个靶机是不是这个地方有点小瑕疵啊哈哈哈，难道刚才一反弹进去就在root目录是有道理的，嘶，反定就是卡住了，30分钟，先换个，但是我这里有点点盲目了没抱多大希望哈哈哈，因为目前遇到有回显的基本就能成功哈哈哈，不管了，实时进程，没东西，本地端口，一开始还没觉呼，

本地开放着80端口哈哈哈，我以为刚刚网页就是80来，原来是8080，忘了，那就转发出去

socat TCP-LISTEN:3000,fork TCP4:127.0.0.1:80 &

OK，看看有啥

这啥，乱点点翻翻没东西就再爆破

看到有个family目录，赞同最后一句哈，最好的字典哈哈哈

就是个登录页面了，登录超过五次就让你reset一下，额，那就是爆破登录呗，这个地方有点难了我是做出来，一会你就知道了，丢给AI，编一个爆破小脚本，然后爆破就行了呗，那用户名呢，第一个就是kali内置字典，肯定没有，第二个就是cewl一下刚刚的网页，那里面不是有很多名字和字符嘛，这样爆破用户名，答案是可能能爆出来，这里就提示了，用户名是brian哈哈哈哈哈，然后爆密码就行了，其实这里作者就是考察的就是有个验证码该怎么爆破，逻辑很简单，5次要reset一次（http://192.168.5.50:3000/family/index.php?reset=1），然后从哪识别验证码，源码里面有哈（http://192.168.5.50:3000/family/captcha.php）

反定就是爆出密码来是savannah，往后的操作大家就看看就行了，纯猜，没有一点点漏洞技术含量，