MENU

Photographer靶机摸索

June 27, 2021 • Read: 1295 • 靶机阅读设置

Photographer靶机摸索

  • 靶机地址:https://www.vulnhub.com/entry/photographer-1,519/

    信息收集

  • 使用nmap扫描内网,发现靶机地址
  • 先用goby扫一下,也没有发现什么有用的信息
  • 那就先访问一下80端口的web页面吧,有一说一,这个主页还挺好看的
  • 先目录扫描一下,没有任何发现
  • nmap里还提示有445端口和8000端口,8000端口打开是一个web页面,暂时也不知道有什么用,先从445端口入手,看看有没有弱口令
  • 使用超级弱口令扫描445端口,发现没有密码,可以任意登录
  • 登录SMB服务,发现两个文件,其中txt应该是一个邮件,其中提到了两个邮箱和一个密码,我猜测这个密码应该是最后一句话中的某个单词,另一个文件根据后缀bkp猜测是wordpress的备份文件
  • 我们再回过头来看看8000端口,先用御剑扫一下,发现了后台地址

    漏洞收集

  • 插件显示这是一个叫Koken的CMS,说不定有漏洞,先在EXP-DB中搜索一下,发现存在一个任意文件上传的漏洞,看来一下这个exp,发现需要填写cookie值,所以得先知道账号密码,登录成功才行
  • 刚好刚才获得了两个邮箱daisa@photographer.comagi@photographer.com试一下我的字典,没想到字典里就有密码,不用根据那个txt造密码了,用户名密码为daisa@photographer.com/babygirl

    漏洞验证

  • 使用暴力破解出来的用户名和密码登录,发现里面有一个shell.php的文件,但是不知道密码,没法用,只能自己上传一个webshell
  • 用刚才exploit-db中获得的exp上传webshell
  • 在网页中发现上传的shell文件
  • 打开该webshell,通过下载获取直连
  • 通过改直连获取信息

    提权

  • 为了更加方便的操作,我打算先通过刚才的webshell反弹一个shell回来
  • 因为是PHP的站,所以我先尝试用PHP反弹shell,但是发现会出现问题
  • 于是我开始尝试用bash反弹,发现还是不行,最后用python反弹shell成功
  • 因为现在还是www-data权限,所以得提权到root用户,直接使用SUID提权,先运行命令find / -perm -u=s -type f 2>/dev/null查看可以提权的应用,在里面发现了php,所以可以通过PHP提权
  • 运行php提权命令,获取到root权限
  • 查看flag
Last Modified: August 16, 2021
Archives QR Code Tip
QR Code for this page
Tipping QR Code