端口扫描
只开放了两个端口
web探测
可以看到出现了报错,而且泄露出来了绝对路径信息。并且有eval的字眼,那么可能和命令执行有关!!
web界面是一个简单的博客系统, 在login点击以后可以看到标签页出现了lotuscms的字样,那么攻击链路就清晰了,找对应版本的历史漏洞就好了。
不过这里用whatweb没有找到cms版本记录。通过翻看源码等一系列手段也没有找到。
这里虽然没有找到具体是哪个版本,但是可以根据eval关键字进行筛选。
找利用脚本这里费了点时间,msf这里行不通,最后只能去github找
https://github.com/Hood3dRob1n/LotusCMS-Exploit.git
这个是可以用的,直接git clone就好。
漏洞利用
这里利用也很简单,直接输入ip和cms的路径就好了,路径指的应该就是index这个页面,这个网站只默认 / 就是cms的进入点,那么直接输入就好,后续设置反弹shell即可成功
提权
这里常见点都没什么可利用的,但是在loneferret家目录下发现这样一段信息
提示我们用ht去进行文件操作,那么应该要想到既然可以操作文件,那么就应该对/etc/passwd,/etc/soduers等进行改变。
另外,对于php网站一般多和mysql进行组合,所以进入系统以后对于mysql的信息获取必不能少。
这个目录下存在一些mysql文件,去看看
这里在刚刚找到的mysql.php这个文件的上一层找到了连接信息 root/fuckeyou
到这我想到了用udf去提权,只可惜一直卡在从数据库写到系统命令那里。
连入数据库可以找到两个信息
可以看到这两个也是系统用户,那么极有可能是密码
通过解密可以得到starwars和,Mast3r两个密码。
starwars loneferret 从/etc/passwd也可以看到另一个用户是rbash,所以主要得到loneferret这个用户的密码就好。
之前提示我们用ht编辑文件,那么尝试用ht去编辑/etc/souders来改变我们的权限。
这里交互性太差了,试一下ssh连接。
通过fn和f键(下方小数字)的组合来进行操控,这里输入/etc/sudoers进行编辑
这个文件用来设置用户可以进行的sudo操作,同样的我们也可以编辑/etc/passwd来进行密码修改让root用户为空也许。
这里直接在用户后加上/bin/bash即可,但是我这里sudoers文件搞坏了无法运行,所以切换不了root用户了,尝试其他系统内核提权也一直没成功,所以到此只能终止了。
总结
靶机整体还算简单,只是工具利用时候有几个点不知道为什么半天没成功,还有一点就是自己对信息处理还是不敏感,mysql账号密码发现的很慢还有ht这个点自己一直没利用好。