type
status
date
slug
summary
tags
category
icon
password
靶机ip:192.168.108.144
攻击机ip:192.168.108.50
靶机地址:![]()
hackmyvm.eu![hackmyvm.eu]()
![]()
hackmyvm.eu
开放了22和80端口,还有一个不常见4567端口,可能是自定义应用,访问一下80端口一个登录页面,源码没东西,就一个静态的token可能会有用,尝试弱密码和万能密码登录,无效,小字典跑一下目录
几个页面里也没线索,尝试访问一下4567端口,访问发现是一串乱码
尝试监听一下,也是乱码,说明这可能不是一个标准的文本协议(如 HTTP, FTP, SMTP),这可能是一个二进制协议
搜索galera发现,Galera Cluster 是一种用于数据库的、真正的多主节点(multi-master)、同步复制(synchronous replication)的集群技术,那说明靶机很可能与这个技术有关,自定义端口很可能就是galera开放的连接端口或复制端口
因为有主从同步的关系,如果一个集群的复制端口暴露在网络上,意味着我们有可能可以嗅探所有数据同步流量,甚至伪装成一个新节点加入集群,从而完整地窃取整个数据库
先用namp扫一下,看一下gemini怎么说
基本可以确定是galera的端口,因为是内网环境,尝试修改本地的mysql接入集群,添加新内容到/etc/mysql/my.cnf里,同时允许数据库远程访问
重启数据库,成功连接
一层层往下看,获取敏感信息
发现admin用户和密码
$2y$- 算法标识符 (Algorithm Identifier)$2a$、$2b$、$2y$都代表 bcrypt,其中$2y$是一个修正版本,修复了早期实现中对某些字符处理可能存在的问题,是目前最常见的。
$10$- 成本因子 (Cost Factor)- 它代表了计算这个哈希所需要的时间和计算量。这个值是对数级的,
10意味着需要进行 2^10 = 1024 轮的哈希计算。 - 成本因子越高,生成哈希的速度就越慢,因此破解它所需要的时间就越长。
BCAQ6VSNOL9TzfE5/dnVmu- 盐值 (Salt)- 这是一串随机生成的、长度为22个字符的数据。
- 它的作用是:即使两个用户设置了完全相同的密码(比如 "123456"),由于他们的盐值不同,最终生成的哈希结果也完全不同。
- 这可以极大地防御“彩虹表攻击”(一种预先计算好常用密码哈希值的攻击方法)。
c9R5PotwClWAHwRdRAt7RM0d9miJRz- 哈希结果 (Hash)- 这是将
(原始密码 + 盐值)经过2^10轮 bcrypt 计算后得到的最终结果,长度为31个字符。
_______________________________________
将hash放入文本,尝试使用hashcat破解,无果
知道加密为
bCrypt,尝试写入新密码,由于同步的原因我们可以利用这个密码登录,将123456加密成功登录,有上传,尝试XSS,发现成功上传但并没有解析,同时发现点view后会传入参数view=1尝试sql注入,无果,尝试LFI也无果
看了别人写的复现,原来是要进数据库修改邮箱名,邮箱名也同样会出现在log且可执行,因为是web服务器上运行的private.php,所有大概率log也在上面且有php解释器
- Author:axlfpe
- URL:https://tlifecafe.xyz/article/2252ef50-849a-807c-8afc-edc054dd3748
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
