0x01 立足
信息收集
端口扫描
首先还是nmap一遍端口详细信息
nmap -sSCV -Pn 10.10.11.25
这里能拿到两个信息点
- 开启了80和3000端口
- web端使用的似乎是某个框架(pluck 4.7.18)
将域名和IP写进hosts开始收集信息
访问俩开启的端口
80端口似乎就是使用的某个编辑器,像这种一般可能存在nday
3000似乎搭建了一个Gitea的1.21.11版本
Gitea是一个开源的自助 Git 服务,类似于 GitHub 或 GitLab的轻便型版本
简单来说就是一个自己搭建的开源的库,只是说完全有自己掌控不依赖第三方服务商
搜索是否存在nday
这里已知nmap扫出的框架版本pluck 4.7.18
这里能看到似乎此框架存在未授权文件上传,并且能达到命令执行的效果
Gitea只找到一个注入的漏洞但是gitea版本需要小于1.17.3
getshell
到这里后续重点就在pluck 4.7.18的框架漏洞上
将poc拉取下来尝试命令执行
git clone https://github.com/Rai2en/CVE-2023-50564_Pluck-v4.7.18_PoC.git
修改shell.php将ip和port改为自己监听的ip和port
然后压缩为zip文件 ####注意不要修改shell.php文件名,如果看不懂poc,不要随意修改
在此处修改ip和端口
此处修改url
监听端口运行poc拿到shell
这里拿到了命令执行但是这里执行命令没有回显需要再反弹一下shell
这里我用的是curl反弹shell
0x02 获取用户权限
首先查看存在的用户
cat /etc/passwd | grep /bin/bash
这里能看到存在三个用户
到这一步需要找是否存在敏感信息泄露
去源码里找有没有存在比如说数据库配置文件里写了数据库账户密码,或者说一些配置文件里写了账户或者密码
这里我通过python3开启http服务用wget将源码拉取下来进行分析
!!!这里从服务器上拉取下来的源码并没有存在敏感信息!!!
后续去官方论坛看到提示,找到框架开源代码发现默认密码
再最开始的时候不是收集到了一个自己搭建的开源系统吗
后来拿到webshell导致忽略了这一点
这里是存在网站搭建时的源码
并且再data/setings文件夹下找到密码的sha512加密
这里我使用的hashcat跑出密码
hashcat -m 1700 -a 0 1.txt ./字典/hash.txt
这里破解密码后尝试去登陆刚开始获取的用户
拿到权限
这里还得重新反弹shell,可用自己的方式也可用上文写的curl反弹shell
0x03 提权
这里能看到除了user,还存在一个pdf文件,一般来说做题的话,存在在获取权限的用户目录下可能就是突破点
开启服务将此文件拉取下来
这里能看到类似于像密码的马赛克
使用python的一个模块depix尝试消除马赛克
没有也可以直接去github下载一个
GitHub - spipm/Depix: Recovers passwords from pixelized screenshots
python3 depix.py -p ..\123.png -s images/searchimages/debruinseq_notepad_Windows10_closeAndSpaced.png -o ../out.png
-p 参数是指定包含马赛克的图像的路径
-s 参数表示使用预定义的模板进行解码
-o 参数表示指定解码后的文件
这是解码后的图片
看起来像是失败了,但事实上仔细观察还是能看出来
sidefromsidetheothersidesidefromsidetheotherside
扫一扫
979
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
