HTB-靶机-Nibbles

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.75

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.75 -o ./Nibbles-autorecon

开放了80端口,访问下

在浏览器上看就显示个Hello world 没啥其他的信息,我们看看burpsuite的信息

发现了隐藏提示信息存在目录nibbleblog 访问一下

这里就开始爆破下目录看看

gobuster dir -u http://10.10.10.75/nibbleblog -w /usr/share/seclists/Discovery/Web-Content/common.txt -o bmfx-nibbles.gobusters -x php,md,html --timeout 30s -t 500

访问发现的admin.php是个登录界面需要账户和密码,这里使用了默认的账户和密码admin/nibbles 成功登录进去了,想找找这个程序的漏洞,但是不知道版本,再换个字典跑下

gobuster dir -u http://10.10.10.75/nibbleblog -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -o bmfx-nibbles-medium.gobusters -x php,md,html --timeout 30s -t 500

访问上面得到的目录,发现README得到了目标的版本

使用此名称搜索是否存在漏洞

有漏洞,刚好是4.0.3版本,这里可以直接使用metasploit直接反弹shell,我想自己根据其原理直接手动上传shell,关于此漏洞原理和利用方式文章参考链接:https://curesec.com/blog/article/blog/NibbleBlog-403-Code-Execution-47.html

手动利用

本地配置好php反弹shell,然后访问:http://10.10.10.75/nibbleblog/admin.php?controller=plugins&action=install&plugin=my_image 得到如下页面

找到My image点击配置

上述点击进去之后就可以上传配置好的反弹shell

保存更改之后显示如下:

上面的警告不用管,本地监听端口,成功之后直接访问:http://10.10.10.75/nibbleblog/content/private/plugins/my_image/image.php 即可反弹shell

执行sudo -l

确认可以直接提权,该用户家目录发现压缩文件personal.zip 将其解压完成之后刚好是上面sudo -l执行结果中的提权路径

使用vi编辑文件monitor.sh写入如下

开始提权

posted @ 2020-12-02 15:02  皇帽讲绿帽带法技巧  阅读(262)  评论(0编辑  收藏  举报