HTB-靶机-Nibbles

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.75

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.75 -o ./Nibbles-autorecon

开放了80端口，访问下

在浏览器上看就显示个Hello world 没啥其他的信息，我们看看burpsuite的信息

发现了隐藏提示信息存在目录nibbleblog 访问一下

这里就开始爆破下目录看看

gobuster dir -u http://10.10.10.75/nibbleblog -w /usr/share/seclists/Discovery/Web-Content/common.txt -o bmfx-nibbles.gobusters -x php,md,html --timeout 30s -t 500

访问发现的admin.php是个登录界面需要账户和密码，这里使用了默认的账户和密码admin/nibbles 成功登录进去了，想找找这个程序的漏洞，但是不知道版本，再换个字典跑下

gobuster dir -u http://10.10.10.75/nibbleblog -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -o bmfx-nibbles-medium.gobusters -x php,md,html --timeout 30s -t 500

访问上面得到的目录，发现README得到了目标的版本

使用此名称搜索是否存在漏洞

有漏洞，刚好是4.0.3版本，这里可以直接使用metasploit直接反弹shell，我想自己根据其原理直接手动上传shell，关于此漏洞原理和利用方式文章参考链接：https://curesec.com/blog/article/blog/NibbleBlog-403-Code-Execution-47.html

手动利用

本地配置好php反弹shell，然后访问：http://10.10.10.75/nibbleblog/admin.php?controller=plugins&action=install&plugin=my_image 得到如下页面

找到My image点击配置

上述点击进去之后就可以上传配置好的反弹shell

保存更改之后显示如下：

上面的警告不用管，本地监听端口，成功之后直接访问：http://10.10.10.75/nibbleblog/content/private/plugins/my_image/image.php 即可反弹shell

执行sudo -l

确认可以直接提权，该用户家目录发现压缩文件personal.zip 将其解压完成之后刚好是上面sudo -l执行结果中的提权路径

使用vi编辑文件monitor.sh写入如下

开始提权