MENU

Photographer靶机摸索

June 27, 2021 • Read: 826 • 靶机阅读设置

Photographer靶机摸索

信息收集

  1. 使用nmap扫描内网,发现靶机地址
  2. 先用goby扫一下,也没有发现什么有用的信息
  3. 那就先访问一下80端口的web页面吧,有一说一,这个主页还挺好看的
  4. 先目录扫描一下,没有任何发现
  5. nmap里还提示有445端口和8000端口,8000端口打开是一个web页面,暂时也不知道有什么用,先从445端口入手,看看有没有弱口令
  6. 使用超级弱口令扫描445端口,发现没有密码,可以任意登录
  7. 登录SMB服务,发现两个文件,其中txt应该是一个邮件,其中提到了两个邮箱和一个密码,我猜测这个密码应该是最后一句话中的某个单词,另一个文件根据后缀bkp猜测是wordpress的备份文件
  8. 我们再回过头来看看8000端口,先用御剑扫一下,发现了后台地址

漏洞收集

  1. 插件显示这是一个叫Koken的CMS,说不定有漏洞,先在EXP-DB中搜索一下,发现存在一个任意文件上传的漏洞,看来一下这个exp,发现需要填写cookie值,所以得先知道账号密码,登录成功才行
  2. 刚好刚才获得了两个邮箱[email protected][email protected]试一下我的字典,没想到字典里就有密码,不用根据那个txt造密码了,用户名密码为[email protected]/babygirl

漏洞验证

  1. 使用暴力破解出来的用户名和密码登录,发现里面有一个shell.php的文件,但是不知道密码,没法用,只能自己上传一个webshell
  2. 用刚才exploit-db中获得的exp上传webshell
  3. 在网页中发现上传的shell文件
  4. 打开该webshell,通过下载获取直连
  5. 通过改直连获取信息

提权

  1. 为了更加方便的操作,我打算先通过刚才的webshell反弹一个shell回来
  2. 因为是PHP的站,所以我先尝试用PHP反弹shell,但是发现会出现问题
  3. 于是我开始尝试用bash反弹,发现还是不行,最后用python反弹shell成功
  4. 因为现在还是www-data权限,所以得提权到root用户,直接使用SUID提权,先运行命令find / -perm -u=s -type f 2>/dev/null查看可以提权的应用,在里面发现了php,所以可以通过PHP提权
  5. 运行php提权命令,获取到root权限
  6. 查看flag
Last Modified: August 16, 2021
Archives QR Code Tip
QR Code for this page
Tipping QR Code