Vulnhub篇Photographerr
0x00 靶機資訊
靶機:Photographerr:1
難度:中
下載:https://www.vulnhub.com/entry/photographer-1,519/
0x01 資訊收集
靶場網段:192.168.12.0/24
Nmap掃描靶場網段,尋找目標靶機IP以及相關埠服務
發現3個疑似IP,嘗試訪問這些IP的Web服務來快速判斷哪個是靶機IP
訪問192.168.12.142成功,根據網頁內容確定是這個IP,接下來獲取埠服務資訊
開放埠:80,139,445,8000
剛剛已經訪問過80埠的頁面了,靜態頁面,暫時沒有找到有價值的地方
訪問8000埠,發現是一個Koken的CMS網站 版本0.22.24
掃下目錄
訪問admin後臺頁面
後臺賬號格式為郵箱,因為不知道郵箱,也沒有辦法去進行爆破,在exp庫中找到koken版本0.22.24的上傳漏洞
遺憾的是這個上傳漏洞是後期的,現在需要先登入後臺,才可以利用這個漏洞
繼續探索其他埠,使用enum4linux探索445埠
Samba服務,連線上去看看有沒有上面資訊
匿名連線上去發現兩個檔案,一個txt文字一個壓縮包
Txt文字內是一封郵件,這裡我們就得到了郵箱號,密碼應該是babygirl
嘗試登入一下
登入成功,接下來就可以利用上傳漏洞了
0x02 漏洞利用
使用Kali自帶的php反彈指令碼來進行利用
先copy出來,然後修改接收反彈的IP和埠
接下來上傳,使用burp修改後綴名
上傳完成
在content中找到我們剛剛上傳的,並訪問,kali設定監聽
成功獲取到shell
0x03 提權
獲取互動式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
檢視suid許可權的程式檔案
find / -perm -u=s -type f 2>/dev/null
有一個php7.2,那就用他來提權
/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
至此通關