前言:
很长时间没有做过靶机了,现在又跑回来做一做。确切的说本人就是菜鸡本菜了,因为困难靶机做不了,中等靶机有难度,简单靶机又嫌弃,想来多少有些可笑,总想去提升,却总感觉在原地踏步。看了一些推荐,我又跑去xctf攻防世界注册了个账号刷刷ctf题,确实发现了很多知识盲区,也知道有很多东西要学,却又不知道如何学起。书中的来终觉浅,又缺乏实践,现在我呀,就像一个无头的苍蝇到处瞎撞。
好了,言归正传,这次靶机名称见题目,下载链接就不放了。文中内容仅供学习。
kali:192.168.1.4
目标机:192.168.1.42
正文:
信息搜集:
漏洞挖掘:
端口开的挺多,两个服务器,一个apache(80端口),一个nginx(88端口),但是nginx直接报404,22端口可以爆破,pop好像也可以爆破(不太确定),但是个人不是很喜欢爆破,就先从apache服务器入手吧。apache访问之后是默认页面,面对默认页面,只能爆破目录(dirb或者dirbuster)。由于内容过多,我直接上成功截图:
这个页面我差点以为是apache服务器的首页,但我隐约记得apache的默认页面是index.html,于是访问了一下,出现一个登录页面。当然啦,由于后面列出的文件太多了,一看就是现有的模板cms之类的网站,第一想到的就是现有漏洞。
注意这个版本信息,我还以为要去试版本,没想到人直接告诉我了,CuteNews 2.1.2,直接搜索漏洞。
直接出来四个,最好还是rce漏洞嘛,所以先看第一个,然后看最后一个。第一个payload中的攻击网址需要修改,凡是出现CuteNews的地方,都要把CutNews删除。所以要养成一个审计exp的习惯。
使用python3执行,然后输入网址,例如:http://192.168.1.42,就可以获取一个shell。
如果觉得这个命令框不好用的话,可以自行反弹shell。我本以为很好用,自己试了几个命令后,发现还是自己反弹shell吧。
提权:
到提权这一步的时候本来是想翻翻home目录的,突然灵光一闪,为何不先sudo -l,于是试了一下,出现了重大发现,大概意思就是www-data可以不用密码的情况下执行root域下的hping3 --icmp命令。
一脸疑惑,先执行一个看看。
仔细查了查才发现,hping3可以发起dos攻击,而且也没有--icmp这个参数,原来是个坑,看样子还得查找文件来提权啊。
查找之后发现怎么还有hping3这个玩意儿啊,我可以执行,但要怎么提权呢。我百度了一下,这玩意可以做个木马放在远程机器上,然后就可以自行执行命令了。虽然很疑惑,于是我直接执行了一下看看,还真的开了个shell,并拥有root权限。至此提权完毕。我也尝试反弹shell来看是否可以完全摆脱www-data,但是反弹失败,目前只能这样了。
最后:
在我贴图的过程中,我居然发现长一点的图给了个水印。
扫一扫
428
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
