Open cha0s32 opened 9 months ago
https://www.vulnhub.com/entry/bbs-cute-102,567/
进行全端口扫描,确认目标开放端口和服务
nmap -n -v -sS --max-retries=0 -p- 172.16.33.9
对开放端口进行版本的扫描
nmap -sV -p22,80,88,110,995 -A 172.16.33.9
通过对各自服务的信息收集,并无入手点。对POP3服务进行过暴破,无结果
使用对web服务(80端口)进行目录及文件的发现
dirsearch -u http://172.16.33.9 # 如果要指定目录和指定扩展名,记得加参数 -f 进行文件发现,否则拼接出来全部是目录 dirsearch -u 172.16.33.9 -e php -f --wordlists=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --thread=1000
结果如下:
尝试多个页面后,在index.php页面中发现有版本信息 CuteNews 2.1.2
index.php
CuteNews 2.1.2
使用searchsploit搜寻相关版本漏洞利用代码,有一个远程命令执行的exp --> 48800.py
searchsploit
初次利用并不成功,查看源代码,结合目录扫描的结果发现所有路径都多了 一个/CuteNews
/CuteNews
删掉后重新利用,成功获得低权限shell
使用netcat给kali弹回来一个shell, 这样使用起来更方便
netcat
kali
使用 python 换一个更舒服的 shell
python -c "import pty;pty.spawn('/bin/bash')"
传上去一个linpeas.sh跑一下,发现一些带suid位的文件可利用
linpeas.sh
suid
可以验证一下
find / -perm -u=s -type f 2>dev/null # find / -perm /4000 -type f -user root 2>/dev/null
通过查资料得含有suid位的hping3可提权
hping3
进入hping3界面,查看权限,发现有查看root用户的权限。
root
也可以直接修改/etc/passwd和/etc/shadow文件,直接获得root权限
/etc/passwd
/etc/shadow
hping3 提权
靶机地址
https://www.vulnhub.com/entry/bbs-cute-102,567/
信息收集
进行全端口扫描,确认目标开放端口和服务
对开放端口进行版本的扫描
通过对各自服务的信息收集,并无入手点。对POP3服务进行过暴破,无结果
使用对web服务(80端口)进行目录及文件的发现
结果如下:
尝试多个页面后,在
index.php页面中发现有版本信息CuteNews 2.1.2利用漏洞拿shell
使用
searchsploit搜寻相关版本漏洞利用代码,有一个远程命令执行的exp --> 48800.py初次利用并不成功,查看源代码,结合目录扫描的结果发现所有路径都多了 一个
/CuteNews删掉后重新利用,成功获得低权限shell
使用
netcat给kali弹回来一个shell, 这样使用起来更方便使用 python 换一个更舒服的 shell
提权
传上去一个
linpeas.sh跑一下,发现一些带suid位的文件可利用可以验证一下
通过查资料得含有
suid位的hping3可提权进入
hping3界面,查看权限,发现有查看root用户的权限。也可以直接修改
/etc/passwd和/etc/shadow文件,直接获得root权限参考资料
hping3 提权