目录
2 CVE-2018-19422-Subrion CMS v 4.2.1任意文件上传
(二)CVE-2018-19422-Subrion CMS v 4.2.1任意文件上传
发现目标开放21,80,139,443,445端口,开放ftp,http/https,smb等服务。
这里没有发现可利用的信息
这里在底部发现md5加密的密文,后期可利用
首先对服务器开放的端口进行漏洞测试,21端口存在dos漏洞,但未发现匿名登录,弱口令等漏洞,smb未发现可利用的信息,http进行目录扫描等均未发现可利用信息。
查看前端源码发现底部注释为md5密文,解密拿到:hostinger。
#john --wordlist=/usr/share/wordlists/rockyou.txt --format=Raw-MD5 hash
尝试ftp登录,账户口令均采用hostinger,成功登录
将里面的txt下载下来,提示进行解密之后可拿到管理员权限的口令,账户为dora,域名venom.box
Base64解密之后拿到解码站点,使用密文和hostinger秘钥进行解码拿到对应的口令
添加本地hosts文件
# echo "192.168.144.12 venom.box" >>/etc/hosts
访问站点存在登录点,使用上面破解拿到的账户信息dora/E7r9t8@Q#h%Hy+M1234,成功登录
2 CVE-2018-19422-Subrion CMS v 4.2.1任意文件上传
成功登录后点击设置可以看到Subrion CMS版本为v4.2.1,已知该版本存在任意文件上传漏洞。
Subrion CMS v 4.2.1
方法1:在kali搜索对应的exp可成功拿到shell
方法2:使用kali自带的php反弹shell,修改监听地址,在content-uploads上传.phar文件,启动监听,访问venom.box/uploads/shell.phar成功拿到shell。(这里注意url没有/panel级目录)
查看home目录下发现存在两个用户hostinger和nathan,前面通过hostinger/hostinger进行ftp登录成功,这里su到hostinger账户成功,但是尝试提权时发现一些命令是被禁止的,尝试提权到nathan用户。
Web目录敏感信息获取。hostinger各种常规提权无果之后,查看web目录发现一个backup文件夹,存在一个.htaccess文件,查看发现一个口令,尝试su到nathan成功。
查看sudo权限,发现#ALL !/bin/su
#sudo bash 或者sudo -i直接提权