Photographer靶机
环境配置
download:
https://download.vulnhub.com/photographer/Photographer.ova
信息收集
获取到靶机的mac地址来进行查找ip地址
nmap -sP 172.16.10.0/24
使用nmap进行对端口的扫描
发现开放了80,139,445,8000端口
smbclient
因为看到有139和445端口开放,所以是存在smb服务的,并且靶机系统是linux,使用smbclient工具来进行查看是否有共享的文件
发现是有sambashare这个文件存在的
smbclient //172.16.10.169/sambashare #ftp客户端一样进行连接
进行连接后发现有两个文件,使用get命令将文件进行下载
里面的mailsent.txt文件是一个邮件的内容
可以看到发送人是agi@photographer.com(agi)
而接收人是daisa@photographer.com(daisa)
在信件的内容中写到,你的网站准备好了,不要忘记你的秘密,my bodygirl
这个秘密就很值得怀疑,并且还是跟网站相关的
那就先去查看一下80端口的网站
使用dirb工具进行对网站目录的扫描
进行查看后没有发现什么有用的信息
那就继续对8000端口进行访问
点击页面最下面的链接
发现这个网站是一个cms,提供一流的照片和视频管理、博客、网站发布,并具有用于购买主题和插件的集成店面
所以像这样的cms一定会有后台的登录页面,一般的后台管理页面就是admin.html、login.php、admin.php、admin等,进行尝试后
这里需要输入邮箱账号和密码,那就能联想到之前在smb服务中拿到的邮件文件
daisa@photographer.com:babygirl
可以看到有一个视频的文件名字为shell.php,首先这个网站的语言肯定是php语言的,并且是可以进行上传文件的
文件上传
并且在上传页面上也有提示能上传的文件类型
可以使用抓包工具进行上传文件
可以先使用msfvemon来生成木马文件
然后将文件内容进行写入抓包工具
因为允许上传jpg等文件
所以在进行上传时需要将文件名进行修改
但是在上面的文件名也需要进行修改
将数据包进行发送
反弹shell
成功后,在metasploit中打开监听的模块
use exploit/multi/handler
对上传的文件进行访问,拿到网站用户的权限
获得了www-data用户的权限
看到home目录下有三个目录
拿到了第一个flag文件
提权
find -perm -u=s -type f 2>/dev/null
可以使用php7.2这个有suid权限来进行提权
/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
可以拿到root权限