Photographerr 靶场 – 作者:听闻瓜子Max

0x00 靶机信息

靶机：Photographerr：1

难度：中

下载：https://www.vulnhub.com/entry/photographer-1,519/

0x01 信息收集

靶场网段：192.168.12.0/24

Nmap扫描靶场网段，寻找目标靶机IP以及相关端口服务

发现3个疑似IP,尝试访问这些IP的Web服务来快速判断哪个是靶机IP

访问192.168.12.142成功，根据网页内容确定是这个IP，接下来获取端口服务信息

开放端口：80，139，445，8000

刚刚已经访问过80端口的页面了，静态页面，暂时没有找到有价值的地方

访问8000端口，发现是一个Koken的CMS网站 版本0.22.24

扫下目录

访问admin后台页面

后台账号格式为邮箱，因为不知道邮箱，也没有办法去进行爆破，在exp库中找到koken版本0.22.24的上传漏洞

遗憾的是这个上传漏洞是后期的，现在需要先登入后台，才可以利用这个漏洞

继续探索其他端口，使用enum4linux探索445端口

Samba服务，连接上去看看有没有上面信息

匿名连接上去发现两个文件，一个txt文本一个压缩包

Txt文本内是一封邮件，这里我们就得到了邮箱号，密码应该是babygirl

尝试登入一下

登入成功，接下来就可以利用上传漏洞了

python3 -c 'import pty;pty.spawn("/bin/bash")'

find / -perm -u=s -type f 2>/dev/null

/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"

来源：freebuf.com 2020-08-12 12:03:39 by: 听闻瓜子Max