Nmap 7.70 scan initiated Sat Aug 24 17:56:26 2019 as: nmap -Pn -sCV -p22,80 -oN nmap/Basic\_10.10.10.133.nmap 10.10.10.133 Nmap scan report for 10.10.10.133 Host is up (0.26s latency).

PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0) | ssh-hostkey: | 2048 48:6c:93:34:16:58:05:eb:9a:e5:5b:96:b6:d5:14:aa (RSA) | 256 32:b7:f3:e2:6d:ac:94:3e:6f:11:d8:05:b9:69:58:45 (ECDSA) |\_ 256 35:52:04:dc:32:69:1a:b7:52:76:06:e3:6c:17:1e:ad (ED25519) 80/tcp open http Apache httpd 2.4.25 ((Debian)) |\_http-server-header: Apache/2.4.25 (Debian) |\_http-title: Page moved. Service Info: OS: Linux; CPE: cpe:/o:linux:linux\_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . # Nmap done at Sat Aug 24 17:56:41 2019 -- 1 IP address (1 host up) scanned in 15.15 seconds

80端口存在web界面

可以注册一个账号,提供了sftp的帐号和密码

这个web提供了类似于在线建站的功能,能通过sftp上传web源码和内容到站点

但是上传php等可以被执行的访问都会跳转到403

换个思路,sftp客户端提供了一个system link功能,类似于windows下的快捷方式,能够创建一个到根文件系统的快捷方式来访问到其他内容。

sftp> symlink ../../../../../../ /public\_html/root

在/var/www/html-admin/.login.php.swp中,存在一些凭据,同时发现60080端口存在另一个admin管理面板。

跑个hashcat可以得到凭据

ots-admin:Homesweethome1

但是这个60080端口是过滤状态,无法直接访问,需要portforward出来。

sftp是运行在ssh上面的,所以可以直接通过sftp的凭据转发端口。

ssh -N -L 60080:127.0.0.1:60080 [email protected] -vv

可以得到另一组凭据,可以直接sftp获得user.txt

可以通过选项卡边上的 [DL] 下载相应的功能php源码,upload功能被禁用,但是通过阅读源码可以发现upload和download功能只是通过另一个功能被管理,可以通过另一种方式绕过被禁用的功能。

事实上,只要请求的url

通过发送如下的请求包,我们可以绕过对upload功能的禁用,上传一个php shell到/addons

root部分涉及到apt中间人攻击,步骤比较麻烦所以没有做,感兴趣的可以参照官方pdf

https://wp.jinzz.cc/wp-content/uploads/2019/09/OneTwoSeven.pdf