最近真太忙了,又是论文又是PPT的,文章都没空写,项目中遇到的一些好玩的抽象的都没空写,很快有空了再写吧。今天先水一篇好久之前打的靶场,各位先凑合着看
靶场地址:
https://www.cyberstrikelab.com/#/target/kvm_detail/261
开启靶机:
这个界面有点眼熟啊...
果然SeaCMS,记得前段时间还有爆出CVE,但是礼貌起见,信息收集的流程还是要走一走。
信息收集
Nmap:
Dirsearch:
看到有phpmyadmin,弱口令失败;根据对海洋cms进行搜索,对历代漏洞进行翻阅,但是苦恼于无法找到后台
漏洞利用
后面翻到了有前台未授权SQL注入:
直接开嗦:
丢SQLmap跑:
太好啦,是时间盲注!(捂脸笑
看当前用户:
本来看到跑出了root还以为能省点事了,结果居然不是dba,还是老老实实翻库吧
跑当前库:
看表:
看到admin的表了,直接CTRL+C中断;
看字段名:
看到账户名和密码了;
dump:
看到这种像是md5,但是长度不足32位的不用慌,有可能是截取的md5值,直接丢去解密:
试了好几个,只有cmd5解出来了,老牌md5解密网站就是🐂🍺
但是又回到那个问题了,后台路径是啥呢...
后面我灵光一现:你说这账户密码都是cslab,那后台路径该不会...
md还真是!直接爽爽登陆;
可以看到是v12.9,一开始就看到有很多后台RCE漏洞,随便找一个:
这个漏洞甚至都不是v12.9版本被发现的,是更早的CNVD-2020-22721,居然也能用也是神了
甚至cookie都没设置都能连上,好好好
在C盘根目录下发现flag.txt
Root提权
既然flag2是需要管理员的密码哈希,那肯定要提权到至少是administrator,当然system是更好,那么!Cobalt Strike,启动!
我比较喜欢powershell上线CS,所以直接生成了powershell命令:
全部复制下来,放到蚁剑的虚拟终端里:
成功上线;
接下来用插件进行提权,这里使用了JuicyPotato成功提权了:
直接hashdump即可得到管理员的密码哈希~
总结
SeaCMS v12.9的未授权SQL注入与后台RCE(CNVD-2020-22721)组合拳getshell,powershell上线CS,JuicyPotato(MS16-075)实现提权,还是比较适合新手入门的一个靶场;就是vpn有点不太稳定,经常容易掉,写笔记的话需要边做边写,不然会容易变得不幸(垃圾OpenVPN🚮
师傅们点点关注呀,之后多多实战案例分享~
原文始发于微信公众号(咸苹果学安全):CyberStrikeLab靶场日记——PT-1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论