ARIES

 Proving Grounds Play : Tre Walkthrough Foothold : 預設字典檔 " /usr/share/dirb/wordlists/common.txt " 沒有掃到利用的路徑 改用大一點的字典檔 " /usr/share/dirb/wordlists/big.txt " 掃到 mantisbt & adminer.php /mantisbt 繼續往下掃發現一個文字檔記錄著 MySQL 連線相關資訊 透過找到的 MySQL 連線資訊利用 /adminer.php 登入查到帳號密碼 後續利用 hydra 測試找到的一組憑證有效，SSH 登入 PE : [CVE-2021-3156] sudo Baron Samedit 標準利用成為 Root sudo -l 有 shutdown 權限，以及可以對  /usr/bin/check-system 檔案有修改權限 利用修改權限執行 SUID 的利用後提權成功 注意事項  : 找不到利用點，且是 Web 時記得換大一點的字典檔 sudo -l 提供的指令要思考可以如何整合應用 第一步 Rustscan，└─$ rustscan -a 192.168.224.84 --scripts none --ulimit 5000 | tee rustscan 僅有 3 個 Port，22, 80, 8082 snmp check，└─$ sudo nmap -sU -p 161 192.168.224.84 | tee snmp nmap check，└─$ sudo nmap -sCV -A -p 22,80,8082 192.168.224.84 | tee nmap 80/tcp   open  http    Apache httpd 2.4.38 ((Debian)) 8082/tcp open  http    nginx 1.14.2 whatweb 80 / 80 /robots.txt HTTP Header Page Source gobuster 發現 /cms、/mantisbt、/adminer.php、etc... 80 /cms 80 /cms/cach...

Proving Grounds Play : Stapler Walkthrough Foothold : 有 SAMBA 服務雖然跑在 139，用 enum4linux 列舉使用者名單 製作使用者名單與密碼清單相同， hydra 後獲得一組帳號密碼 PE : HOME 有多組使用者，使用 cat */.bash_history 獲取歷史指令資訊 歷史指令中找到的密碼在 su peter 切換使用者成功 直接 sudo -i 提權成功 注意事項 : 遇到 SMB or SAMBA 一定要用 enum4linux Hydra 一定要試試帳號與密碼都同一份清單 遇到 linux 過多使用者可以用 cat */.bash_history 一次獲取歷史指令 善用 su < 使用者 > 與 sudo -i 提權 Rustscan，└─$ rustscan -a 192.168.159.148 --scripts none --ulimit 5000 | tee rustscan snmp check，└─$ sudo nmap -sU -Pn -p 161 192.168.159.148 | tee snmp nmap check，└─$ sudo nmap -sCV -A -Pn -p 21,22,53,80,139,666,3306,12380 192.168.159.148 | tee nmap FTP 使用 ftp:ftp 登入，有個橫幅如下，看來有個使用者名稱為 Harry "220-| Harry, make sure to update the banner when you get a chance to show who has access here |" note 檔案裡面內容又列舉到兩個使用者名稱 Elly & John 80 / 80 /robots.txt gobuster 找不到甚麼東西 mysql 登入測試無法登入 12380 / Tital 發現另外一個名字 Tim 12380 /robots.txt View Source 發現另外一個使用者名稱 Zoe gobuster 12380 沒有發現...