实战打靶系列第 17 篇文章 

对1337、3306进行端口发现。

1337跑的是SSH服务，版本7.9，如果把默认端口改掉，先进行nmap全端口扫描，里面使用指纹扫描，探测应用层面返回信息进行判断服务。

目标系统debian 10+。mysql 版5.5.5。

下面那个mysql_native_pasword支持远程登录。

接下来选择从SSH开始。

没有发现任何针对7.9已知漏洞。 

存在代码执行漏洞和提取的漏洞。但是只针对5.5.51和5.6.32、5.7.14。

然后在利用这个第一种漏洞进行漏洞利用代码行不通，因为只针对具体的数据库。

接下来进行以上服务的密码爆破。

这里显示目标22端口拒绝连接登录。修改命令：

但是最终跑完也突破不了。 

 现在拿到mysql的账号和密码，进行登录。

接下来对目标服务器发起攻击。

然后如果存在这种漏洞，执行bash 直接就能获得目标shell的执行权限。

运行ip a查看IP，发现在自己主机。

现在发现使用这种指令执行是失败的。所以先退出本主机IP。

现在再找别的方法，尝试读取目标系统系统文件。

这里面包括很多系统、各种服务的默认运行账号。

其中发现了一个用户账号lucy，而且可以登录。

既然这里能读取文件，就对mysql常见的默认文件进行尝试读取。

然后尝试了挺多文件都没有什么发现。

然后尝试读取lucy的文件，比如SSH文件 

现在以上文件都没有读取有效文件。进行查看数据库。

然后查看系统数据库。只有默认的库。

gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys= | UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=

前面字段是cred，后面字段是keyy。像是base64编码。

然进行尝试解密

看来不是base64编码。

然后又看回表名，这个fernet好像跟什么加解密方式有关。

官方站点解释了怎么实现利用crytography实现加解密。首先会随机生成一个key密钥内容，这个key可以创建实例化叫做F，然后调用F进行数据加密，这个数据可以是任何数据。

下面进行解密。

b'lucy:wJ9`"Lemdv9[FEw-'

看起来是lucy的密码，进行SSH登录

进来之后进行信息收集。

这里针对内核版本利用并没有利用成功。

那么还是对于上面的exp.py代码想想怎么利用吧。

看到这个exec函数，一般都是执行系统指令的。

然后查看指令帮助，了解到执行文件之后，还能使用指令能动态执行python代码。即：如果在原来exp.py加上代码，也能被执行。

然后，第二个flag拿下了，这台靶机就拿下了。

参考资料：https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0