0x01 端口扫描
扫描情况如下:
- 22端口:SSH服务
- 80端口:HTTP服务
访问80端口
查看源代码
注释中有内容,先保存下来
访问该目录,看到了一个页面
根据页面右下角指纹可知这是一个开源的博客系统。
0x02 目录扫描
先对网站根目录进行扫描,未发现什么有用的线索。
再对网站目录扫描,发现一些链接及文件
访问这些线索
其中有一个登陆页面
一个install.php的页面
和一个admin用户名但不知道密码
0x03 遗留的web敏感文件
点击更新我们发现了Nibbleblog4.0.3的版本号和两个疑似数据库的路径
通过exploit的讲解我们得知必须要获得管理员权限才能够使用该漏洞
0x05 登陆凭证猜测
无法使用爆破,应该设置了尝试次数机制根据猜测最后的密码为admin/nibbles
登陆系统后页面如下
漏洞非常简单,找到对应的功能点,上传php-reverse-shell即可,保存在了该插件的目录下,且名称为
image.php
http://10.10.10.75/nibbleblog/content/private/plugins/my_image/image.php
访问获得反弹shell后获取标准终端并禁用回显
使用命令查看是否有提权可利用的命令
发现我们可以无root密码使用 /home/nibbler/personal/stuff/monitor.sh 并且从 /home/nibbler/ 又可知道该目录是当前用户的个人目录,那么意味着nibbler用户对该目录有完整的读、写和执行权限。
使用命令写入
echo "#! /bin/sh" > monitor.sh
echo "bash" >> monitor.sh
这里我是笨比,不会换行,直接写了两次
给monitor.sh添加执行权限,然后sudo运行一下,获取root权限
0x06 总结
- 查看源代码发现更多有价值的线索
- 访问页面获取系统关键词
- 对根目录扫描和网站目录扫描结果可能不同
- 遗留的安装文件等泄露系统版本信息
- 配置文件获取admin用户名
- 无法对密码进行爆破时,尝试使用相关的内容进行猜测
- 登陆成功后的任意文件上传
- 修改脚本sudo提权