MOMENTUM: 1

攻击机

192.168.223.128

目标机

192.168.223.146

主机发现

nmap -sP 192.168.223.0/24

端口扫描

nmap -sV -p- -A 192.168.223.146

开启了22 80端口

看一下web界面

随便打开看看

发现这里有个参数id，sql尝试无果，发现写入什么，网页显示什么

尝试xss漏洞

获取当前cookie
 

id=

cookie=U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt

光有Cookie没用，不知道什么加密，扫一下目录，看有没有信息

gobuster dir -u http://192.168.223.146 -x html,txt,php,bak --wordlist=/usr/share/wordlists/dirb/common.txt

有个js文件

可以看到是一个AES加密，密钥是SecretPassphraseMomentum

得到auxerre-alienum##

应该是一组账号密码

ssh连接一下，经过多次测试，发现auxerre-alienum##是密码

当前目录下有第一个flag

然后提权

常规提权手段没有办法

看一下端口情况

ss -pantu

除了22 80 ，6379端口也在监听，6379端口是Redis数据库的默认端口号

进入redis数据库

redis-cli  #进入数据库
keys *    #查看当前数据库中所有的数据
get key    #获取数据

这里读取到root 密码是m0mentum-al1enum##

拿到最终flag

总结:1.xss漏洞2.加密文件读取3.cookie获取账号密码4.redis 6379默认端口

5.redis常用语法