靶机练习6: BSS(Cute 1.0.2)

靶机地址

https://www.vulnhub.com/entry/bbs-cute-102,567/

信息收集

进行全端口扫描，确认目标开放端口和服务

nmap -n -v -sS --max-retries=0 -p- 172.16.33.9

对开放端口进行版本的扫描

nmap -sV -p22,80,88,110,995 -A 172.16.33.9

通过对各自服务的信息收集，并无入手点。对POP3服务进行过暴破，无结果

使用对web服务（80端口）进行目录及文件的发现

dirsearch -u http://172.16.33.9

# 如果要指定目录和指定扩展名，记得加参数 -f 进行文件发现，否则拼接出来全部是目录

dirsearch -u 172.16.33.9 -e php -f  --wordlists=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --thread=1000 

结果如下：

尝试多个页面后，在index.php页面中发现有版本信息 CuteNews 2.1.2

利用漏洞拿shell

使用searchsploit搜寻相关版本漏洞利用代码，有一个远程命令执行的exp --> 48800.py

初次利用并不成功，查看源代码，结合目录扫描的结果发现所有路径都多了 一个/CuteNews

删掉后重新利用，成功获得低权限shell

使用netcat给kali弹回来一个shell, 这样使用起来更方便

使用 python 换一个更舒服的 shell

python -c "import pty;pty.spawn('/bin/bash')"

提权

传上去一个linpeas.sh跑一下，发现一些带suid位的文件可利用

可以验证一下

find / -perm -u=s -type f 2>dev/null

# find / -perm /4000 -type f -user root 2>/dev/null

通过查资料得含有suid位的hping3可提权

进入hping3界面，查看权限，发现有查看root用户的权限。

也可以直接修改/etc/passwd和/etc/shadow文件，直接获得root权限

参考资料

hping3 提权