Beep-Writeup

概述 （Overview）

• MACHINE TAGS
  • Password Reuse
  • LFI
  • Web

攻击链 （Kiillchain）

TTPs （Tactics, Techniques & Procedures）

• nmap
• exploit-db
• wfuzz
• hydra

阶段1：枚举

首先通过 nmap 收集一下目标开放端口：

看到存在 80 和 443 ，浏览器查看运行的服务为 Elastix，使用 Gobuster 枚举一下目录：

根据枚举出来的目录，发现服务器上部署了多个服务：

阶段2：利用工具

尝试搜索一下 exploit，37637.pl 和 18650.py 与运行的软件比较符合。

查看 37637.pl 中的 payload，为 Elastix 2.2.0 LFI 尝试利用：

#LFI Exploit: /vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action

成功加载 /etc/passwd 文件，

在 fanis 用户下读取到了 user.txt：

尝试使用 wfuzz 找找可利用的内容：

$ wfuzz --filter "l>0" -w /usr/share/seclists/Fuzzing/LFI/LFI-gracefulsecurity-linux.txt "https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../../FUZZ%00&module=Accounts&action"

然后在 wfuzz 中并没有获得什么收获，转而在 /etc/amportal.conf 中找到了一串密码：

阶段3：权限提升

利用 hydra 组合账户密码尝试枚举ssh登录：

OK，发现这里读取到的密码就是 root 登录密码。但当我尝试ssh登录时提示错误：

https://unix.stackexchange.com/questions/340844/how-to-enable-diffie-hellman-group1-sha1-key-exchange-on-debian-8-0/340853

OK，成功登录 root

参考

• https://certcube.com/wfuzz-cheat-sheet-the-power-of-brute-forcer/