0x00 靶機資訊

靶機：Photographerr：1

難度：中

下載：https://www.vulnhub.com/entry/photographer-1,519/

0x01 資訊收集

靶場網段：192.168.12.0/24

Nmap掃描靶場網段，尋找目標靶機IP以及相關埠服務

發現3個疑似IP,嘗試訪問這些IP的Web服務來快速判斷哪個是靶機IP

訪問192.168.12.142成功，根據網頁內容確定是這個IP，接下來獲取埠服務資訊

開放埠：80，139，445，8000

剛剛已經訪問過80埠的頁面了，靜態頁面，暫時沒有找到有價值的地方

訪問8000埠，發現是一個Koken的CMS網站 版本0.22.24

掃下目錄

訪問admin後臺頁面

後臺賬號格式為郵箱，因為不知道郵箱，也沒有辦法去進行爆破，在exp庫中找到koken版本0.22.24的上傳漏洞

遺憾的是這個上傳漏洞是後期的，現在需要先登入後臺，才可以利用這個漏洞

繼續探索其他埠，使用enum4linux探索445埠

Samba服務，連線上去看看有沒有上面資訊

匿名連線上去發現兩個檔案，一個txt文字一個壓縮包

Txt文字內是一封郵件，這裡我們就得到了郵箱號，密碼應該是babygirl

嘗試登入一下

登入成功，接下來就可以利用上傳漏洞了

0x02 漏洞利用

使用Kali自帶的php反彈指令碼來進行利用

先copy出來，然後修改接收反彈的IP和埠

接下來上傳，使用burp修改後綴名

上傳完成

在content中找到我們剛剛上傳的，並訪問，kali設定監聽

成功獲取到shell

0x03 提權

獲取互動式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

檢視suid許可權的程式檔案

find / -perm -u=s -type f 2>/dev/null

有一個php7.2，那就用他來提權

/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
 

至此通關