Photographerr 靶场 – 作者:听闻瓜子Max

0x00 靶机信息

靶机:Photographerr:1

难度:中

下载:https://www.vulnhub.com/entry/photographer-1,519/

0x01 信息收集

靶场网段:192.168.12.0/24

Nmap扫描靶场网段,寻找目标靶机IP以及相关端口服务

图片[1]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

发现3个疑似IP,尝试访问这些IP的Web服务来快速判断哪个是靶机IP

图片[2]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

访问192.168.12.142成功,根据网页内容确定是这个IP,接下来获取端口服务信息

图片[3]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

开放端口:80,139,445,8000

刚刚已经访问过80端口的页面了,静态页面,暂时没有找到有价值的地方

访问8000端口,发现是一个Koken的CMS网站 版本0.22.24

图片[4]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

图片[5]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

扫下目录

图片[5]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

访问admin后台页面

图片[7]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

后台账号格式为邮箱,因为不知道邮箱,也没有办法去进行爆破,在exp库中找到koken版本0.22.24的上传漏洞

图片[8]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

遗憾的是这个上传漏洞是后期的,现在需要先登入后台,才可以利用这个漏洞

继续探索其他端口,使用enum4linux探索445端口

图片[9]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

Samba服务,连接上去看看有没有上面信息

图片[8]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

匿名连接上去发现两个文件,一个txt文本一个压缩包

图片[11]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

Txt文本内是一封邮件,这里我们就得到了邮箱号,密码应该是babygirl

尝试登入一下

图片[11]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

登入成功,接下来就可以利用上传漏洞了

0x02 漏洞利用

使用Kali自带的php反弹脚本来进行利用

图片[13]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

先copy出来,然后修改接收反弹的IP和端口

图片[13]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

接下来上传,使用burp修改后缀名

图片[15]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

上传完成

图片[16]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

在content中找到我们刚刚上传的,并访问,kali设置监听

图片[17]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

成功获取到shell

0x03 提权

获取交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

查看suid权限的程序文件

find / -perm -u=s -type f 2>/dev/null

图片[17]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

有一个php7.2,那就用他来提权

/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"

图片[19]-Photographerr 靶场 – 作者:听闻瓜子Max-安全小百科

至此通关

来源:freebuf.com 2020-08-12 12:03:39 by: 听闻瓜子Max

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论