靶机实战(10)：OSCP备考之VulnHub Tre 1

靶机官网：Tre: 1^[1]

实战思路：

1. 一、主机发现

2. 二、端口发现（服务、组件、版本）

3. 三、漏洞发现（获取权限）

   1. 8082端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞（目录、文件）

   2. 80端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞（目录、文件）

   3. 22端口/SSH服务

      1. 组件漏洞

      2. 口令漏洞

   4. 80端口/HTTP服务

      1. URL漏洞（目录、文件）

4. 四、提升权限

   1. tre用户

      1. sudo

      2. suid

      3. cron

5. 后记

一、主机发现

本次攻击指定IP，不涉及主机发现过程。

二、端口发现（服务、组件、版本）

使用命令sudo -u root nmap 172.16.33.53 -n -Pn -p- --reason -sV -sC -O发现主机开放的端口、提供的服务、使用的组件、组件的版本。

开放的端口	提供的服务	使用的组件	组件的版本
22/tcp	ssh	OpenSSH	7.9p1
80/tcp	http	Apache httpd	2.4.38
8082/tcp	http	nginx	1.14.2
-	os	Debian Linux	？

三、漏洞发现（获取权限）

8082端口/HTTP服务

组件漏洞

01、中间件组件：使用命令searchsploit nginx 1.，未发现组件nginx 1.14.2的Nday漏洞。

02、应用组件：使用Wappalyzer、FindSomething等浏览器插件自动识别，使用BurpSuite等工具手动识别，均未发现应用组件信息。

URL漏洞（目录、文件）

01、直接访问：使用浏览器打开http://172.16.33.53:8082/，只有一张竹子的图片。

02、目录扫描：使用命令dirb http://172.16.33.53:8082/ -R扫描网站的目录和文件，无收获。

03、模糊测试：基于当前已知信息，没有对网站的目录和文件进行FUZZ的必要。

04、信息收集：前面在Firefox访问网站的流量全都走BurpSuite代理，并使用HaE插件分析敏感信息，无收获。

这个报以最大期望的非标端口，竟就这样草草收场了。

80端口/HTTP服务

组件漏洞

01、中间件组件：使用命令searchsploit Apache httpd 2.4.，未发现Apache httpd 2.4.38组件的Nday漏洞。

02、应用组件：使用Wappalyzer、FindSomething等浏览器插件自动识别，使用BurpSuite等工具手动识别，均未发现应用组件信息。

URL漏洞（目录、文件）

01、直接访问：使用浏览器打开http://172.16.33.53/，只有一张竹子的图片。

02、目录扫描：使用命令dirb http://172.16.33.53/ -R扫描网站的目录和文件，发现/cms/目录及其子目录和文件、/info.php文件、/system文件。

02-01、/cms/目录，打开会跳转到http://172.16.33.53/cms/site/页面。

02-01-01、使用Wappalyzer、FindSomething等浏览器插件自动识别应用组件，对于识别到版本的组件，使用searchsploit命令和搜索引擎查找Nday漏洞，未发现可以用于获取权限的漏洞。

02-01-02、直接访问http://172.16.33.53/cms/site/，发现是个静态页面，按钮都是href="#"的伪链接。

02-01-03、逐个访问前面目录扫描发现的/cms/下的子目录和文件，无收获。

02-02、/info.php文件，打开后是phpinfo()`页面，泄露的信息目前没有利用方式。

02-03、/system文件其实是/system/目录，需要HTTP Basic Authorization才能访问，随手测一个admin/admin竟然对了，随后跳转到http://172.16.33.53/system/login_page.php页面，是Mantis Bug Tracker的登录页。

02-03-01、Wappalyzer、FindSomething等浏览器插件自动识别到的应用组件和前面的一样，不再深入排查。

02-03-02、在MantisBT 2.0 Admin Guide^[2]找到默认账号administrator和密码root，但无法登录。

使用BurpSuite的Intruder爆破账号密码，也没有收获。

尝试注册账号进行登录，提示会发送邮件验证邮箱，但这种内网系统，邮件怎么发得出来嘛。

02-03-03、使用命令dirb http://172.16.33.53/system/ -R扫描目录和文件，响应码是401 Unauthorized，咦那刚才爆破Mantis Bug Trackerhttp://172.16.33.53/system/login_page.php的账号密码也没说要认证呀。

重新使用命令dirb http://172.16.33.53/system/ -R -u admin:admin扫描，发现一些目录。

逐个翻看目录，只有/system/config/有点意思。/system/config/目录下的a.txt文件，内容和config_inc.php.sample文件一样，是MantisBT的配置文件，而且有些参数已经配置上了，猜测是曾经用过的配置文件。查看文件大小，a.txt和config_inc.php.sample一样，但是比config_inc.php大很多，所以当前正在使用的config_inc.php有可能未修改账号密码，只是删减了无用的注释和配置。此处先记下MySQL数据库的账号密码mantissuser/password@123AS。