虚拟机下载地址:https://www.vulnhub.com/entry/tiki-1,525/
虚拟机简介:攻击者使用了 0day,所以我们不知道他是如何进入管理面板的
目标:1个flag
级别:中级
1、信息收集
1.1通过arp-scan检测主机IP地址
arp-scan 192.168.207.0/24
1.2 通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.146
查看开放22、80、139、445端口
2、渗透测试
2.1 WEB渗透
1.爆破信息泄露
访问站点首页为Apache的默认页面
通过dirb进行目录扫描,发现存在tiki目录
dirb http://192.168.207.146
访问以后发现是tiki的安装成功页面,未发现有用信息
2.SMB检测
通过前面的nmap扫描发现存在smb服务,针对smb进行扫描发现存在Notes目录
smbmap -H 192.168.207.146
连接Notes目录,查看存在mail.txt文件并下载
smbclient //192.168.207.146/Notes
get Mail.txt
查看mail.txt文件发现账号和密码,账号为silky,密码为51lky571k1
3.历史漏洞CVE
通过获取到的账号和密码登录后台以后,在Last Change中查看有编辑的记录
查看编辑记录提示存在一个CVE编号
选择编辑,查看有提示历史编辑草稿,点击历史编辑
查看历史编辑中提示CVE编号为CVE-2020-159**
通过谷歌搜索发现CVE编号为:CVE-2020-15906
4.漏洞利用
使用漏洞利用脚本,提示admin管理员密码已经被删除
cp /usr/share/exploitdb/exploits/php/webapps/48927.py ./
python3 48927.py 192.168.207.146
使用账号admin和随意密码进行登录,并使用burpsuite进行抓包,删除密码字段的值
删除后内容如下,并点击Forward放行
已经获取到admin管理员权限
在历史编辑中,有一个证书信息内容
打开以后提示有账号和密码信息silky:Agy8Y7SPJNXQzqA
2.2 主机渗透
1.使用账号密码登录SSH
ssh [email protected]
2.查看当前用户sudo权限
查看该用户拥有所有的sudo权限
sudo -l
3.查看Flag
sudo su
cat /root/flag.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之Tiki-1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论