靶机练习6: BSS(Cute 1.0.2)
靶机地址
https://www.vulnhub.com/entry/bbs-cute-102,567/
信息收集
进行全端口扫描,确认目标开放端口和服务
nmap -n -v -sS --max-retries=0 -p- 172.16.33.9
对开放端口进行版本的扫描
nmap -sV -p22,80,88,110,995 -A 172.16.33.9
通过对各自服务的信息收集,并无入手点。对POP3服务进行过暴破,无结果
使用对web服务(80端口)进行目录及文件的发现
dirsearch -u http://172.16.33.9
# 如果要指定目录和指定扩展名,记得加参数 -f 进行文件发现,否则拼接出来全部是目录
dirsearch -u 172.16.33.9 -e php -f --wordlists=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --thread=1000
结果如下:
尝试多个页面后,在index.php
页面中发现有版本信息 CuteNews 2.1.2
利用漏洞拿shell
使用searchsploit
搜寻相关版本漏洞利用代码,有一个远程命令执行的exp --> 48800.py
初次利用并不成功,查看源代码,结合目录扫描的结果发现所有路径都多了 一个/CuteNews
删掉后重新利用,成功获得低权限shell
使用netcat
给kali
弹回来一个shell, 这样使用起来更方便
使用 python 换一个更舒服的 shell
python -c "import pty;pty.spawn('/bin/bash')"
提权
传上去一个linpeas.sh
跑一下,发现一些带suid
位的文件可利用
可以验证一下
find / -perm -u=s -type f 2>dev/null
# find / -perm /4000 -type f -user root 2>/dev/null
通过查资料得含有suid
位的hping3
可提权
进入hping3
界面,查看权限,发现有查看root
用户的权限。
也可以直接修改/etc/passwd
和/etc/shadow
文件,直接获得root权限
参考资料
如果您觉得阅读本文对您有帮助,请点一下“推荐”按钮,您的“推荐”将是我最大的写作动力!欢迎各位转载,但是未经作者本人同意,转载文章之后必须在文章页面明显位置给出作者和原文连接,否则保留追究法律责任的权利。
本文作者:cha0s32
本文链接:https://www.cnblogs.com/cha0s32/p/17171940.html
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步