InsanityHosting
https://download.vulnhub.com/insanity/Insanity-Hosting.ova
靶场IP:192.168.2.134
扫描对外端口服务
┌──(root💀kali)-[~]
└─# nmap -p1-65535 -sV 192.168.2.134
Starting Nmap 7.91 ( https://nmap.org ) at 2022-09-06 08:23 EDT
Nmap scan report for 192.168.2.134
Host is up (0.00024s latency).
Not shown: 65532 filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.2
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/7.2.33)
MAC Address: 00:0C:29:C2:09:42 (VMware)
Service Info: OS: Unix
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 154.26 seconds
访问FTP 21端口,可以匿名登陆,不过没有发现有用的东西。
浏览器访问80端口
爆破目录
访问:/news/。会访问一个域名,需要配置本地hosts。
重新刷新页面,页面有个用户:Otis
监控服务
我们的团队一直在努力为您的服务器创建免费的监控服务。特别感谢领导团队的 Otis。
我们很高兴地宣布,从下周开始,您将可以注册我们的监控服务。这将保持免费,无论您是否是客户。
如果您有兴趣,请发送电子邮件至 hello@insanityhosting.vm,我们可以为您提供更多详细信息。
查看页面底部,我们看到这似乎也在运行Bludit CMS。
查看/data目录,找到一个版本:1.14.0
查看/webmail目录
对登录界面进行暴力破解
获得登录密码
登录/webmail,不过这里没有邮件信息。
访问/monitoring,并尝试使用相同的用户名和密码登录。
这是一个监控页面,让我们尝试使用我们的 IP 地址添加一个新主机,看看它是否使用.一段时间后,我们看到本地机器的状态是"UP"。
现在让我们尝试通过将被监控的 IP 地址更改为无效的 IP 地址来禁用监控。这是看是否otis真的收到任何监控失败邮件。
我们发现test"在名称字段中输入会导致没有电子邮件被发送到otis。这表明监控网站可能正在使用基于 SQL 的查询来找出哪些服务器已关闭,并使用该查询向我们发送电子邮件。
因此,考虑到这一假设,我们尝试test" or 1='1' -- -在名称字段中。
太棒了,数据库表中的所有内容都会返回给我们,包括成功记录,这意味着我们自己获得了 SQL 注入。
由于我们看到发送给我们的电子邮件中有四列,我们可以尝试使用以下查询获取数据库列表。
让我们看看monitoring数据库里面有什么。
这张users表看起来很有趣,所以让我们来看看。
太棒了,我们获得了有资格访问此监控页面的用户的用户名、密码哈希和电子邮件地址。不是那么棒,我们在很长一段时间后都没有设法破解它们。
因此,让我们继续阅读文件。
仔细看/etc/passwd,我们看到我们有四个用户,我们以后可能可以转移到- admin、monitor和。elliot``nicholas
接下来让我们尝试阅读 Bludit 用户文件。
尝试破解 Bluditadmin用户的密码哈希也无济于事,所以让我们尝试从mysql.user数据库中获取密码哈希。
我们在数据库中看到一个elliot用户,以及他们在authentication_string列下的哈希密码。这可能和elliot我们在阅读时看到的一样/etc/passwd。让我们尝试破解它。
ssh登录
寻找属于elliot用户的文件
发现了firefox的登录信息
压缩firefox的文件到本地
解密的firefox的密码
https://github.com/Unode/firefox_decrypt
最后更新于
这有帮助吗?