标签：ssh   软件   font   命令执行   one   就是   特权   ftp   image   

0x01 进入网页

啥也没有

0x02 目录爆破

啥也没有

0x03 端口扫描

知识盲区：

ProFTPD 1.3.5 用ProFTPD服务权限执行复制命令，默认在’nobody’用户的特权下运行。通过使用/proc/self/cmdline将某php paylaod复制到网站目录，可能造成php远程命令执行！

尝试使用cve漏洞（编号cve-05-3306） 原理就是通过ftp漏洞写入backdoor文件，执行失败 后面得知时因为网站根目录没有写权限

0x04 查看smb（文件共享）

尝试匿名访问anonymous 在backups里有个log.txt

由文件内容看到执行了两条命令

cat /etc/shadow > /var/backups/shadow.bak 备份shadow文件

找到anonymous用户分享的路径

联想ProFTPD 1.3.5 的漏洞，既然写失败了，那就将一直文件复制出来，唯一已知路径的文件就是shadow.bak

主要命令：site cpfr /var/backups/shadow.bak

site cpto /home/aeolus/share/shadow.txt

0x04 查看共享文件里出现了所需的shaow.txt，查看里面的账户名是 aeolus，使用hydra爆破ssh或者ftp

得到账号密码

0x05 连接ftp或者ssh

这里使用msf连接SSH

msf5 > use auxiliary/scanner/ssh/ssh_login

通过ssh会话生成meterpreter会话

sessions -u 会话id

看到本地监听8080端口，尝试将8080转发出来看看是什么

0x06 转发8080端口

使用meterpreter自带的转发工具portfwd(使用？查看帮助)

转发出来之后查看是一个lbrenms管理软件

使用librenms已存在漏洞进行

symfonos2

标签：ssh   软件   font   命令执行   one   就是   特权   ftp   image   

原文地址：https://www.cnblogs.com/sup3rman/p/12326018.html