2020年的第一個上線靶機(jī)

目錄爆破一下發(fā)現(xiàn)很多欄目頁面，在music頁面下發(fā)現(xiàn)了login，直接跳轉(zhuǎn)到ona目錄下

嘗試admin、admin弱口令，雖然成功但是對于權(quán)限沒有什么改變，依然是guest，至于為什么沒有改變可以進(jìn)入到www-data權(quán)限后在某個配置文件下找到原因。

查了半天發(fā)現(xiàn)ona是OpenNetAdmin，是一個IP網(wǎng)絡(luò)地址和主機(jī)管理系統(tǒng)。并且版本是v18.1.1。存在可利用exploit，使用msf中的模塊一直有問題，所以直接手動利用，具體利用可以上exploit-db。

向靶機(jī)植入反彈shell，建立會話

找到了關(guān)于數(shù)據(jù)庫的配置文件

在/var/www目錄下發(fā)現(xiàn)另一個叫internal的目錄，屬于jimmy用戶。嘗試泄露的數(shù)據(jù)庫密碼連接jimmy用戶的ssh，成功登入

連接后查看Internal目錄下的文件，發(fā)現(xiàn)同樣是一個網(wǎng)站目錄，其中功能是通過登錄認(rèn)證jimmy用戶輸出另一個用戶joanna的rsa密鑰

解密那一長串sha512得出明文是：Revealed。但是嘗試訪問頁面發(fā)現(xiàn)自己權(quán)限被阻止的，畢竟我的權(quán)限是jimmy，只能繼續(xù)尋找。在jimmy的根目錄下發(fā)現(xiàn)個.viminfo文件，里面出現(xiàn)了關(guān)于apache2的Internal.conf文件的線索。直接cat這個配置文件

內(nèi)容一目了然就是用joanna用戶啟動了個Internal的那個網(wǎng)站服務(wù)，監(jiān)聽端口是52846。也就意味著訪問52846端口其實(shí)就是joanna權(quán)限去訪問，訪問頁面得到j(luò)oanna的rsa

解密rsa得到一個密碼叫bloodninjas。

經(jīng)嘗試這個密碼并不是joanna的ssh連接密碼，而是利用密鑰連接ssh時對私鑰的驗(yàn)證密碼。之后連接到j(luò)oanna的ssh

使用sudo發(fā)現(xiàn)sudo命令可用，輸入sudo -l查看權(quán)限

可以無需密碼使用nano去編輯/opt/priv這個文件。直接sudo nano /opt/priv進(jìn)入編輯器，Ctrl+R讀取文件，輸入文件路徑即可查看所有root權(quán)限文件。