本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.75
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.75 -o ./Nibbles-autorecon
开放了80端口,访问下
在浏览器上看就显示个Hello world 没啥其他的信息,我们看看burpsuite的信息
发现了隐藏提示信息存在目录nibbleblog 访问一下
这里就开始爆破下目录看看
gobuster dir -u http://10.10.10.75/nibbleblog -w /usr/share/seclists/Discovery/Web-Content/common.txt -o bmfx-nibbles.gobusters -x php,md,html --timeout 30s -t 500
访问发现的admin.php是个登录界面需要账户和密码,这里使用了默认的账户和密码admin/nibbles 成功登录进去了,想找找这个程序的漏洞,但是不知道版本,再换个字典跑下
gobuster dir -u http://10.10.10.75/nibbleblog -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -o bmfx-nibbles-medium.gobusters -x php,md,html --timeout 30s -t 500
访问上面得到的目录,发现README得到了目标的版本
使用此名称搜索是否存在漏洞
有漏洞,刚好是4.0.3版本,这里可以直接使用metasploit直接反弹shell,我想自己根据其原理直接手动上传shell,关于此漏洞原理和利用方式文章参考链接:https://curesec.com/blog/article/blog/NibbleBlog-403-Code-Execution-47.html
手动利用
本地配置好php反弹shell,然后访问:http://10.10.10.75/nibbleblog/admin.php?controller=plugins&action=install&plugin=my_image 得到如下页面
找到My image点击配置
上述点击进去之后就可以上传配置好的反弹shell
保存更改之后显示如下:
上面的警告不用管,本地监听端口,成功之后直接访问:http://10.10.10.75/nibbleblog/content/private/plugins/my_image/image.php 即可反弹shell
执行sudo -l
确认可以直接提权,该用户家目录发现压缩文件personal.zip 将其解压完成之后刚好是上面sudo -l执行结果中的提权路径
使用vi编辑文件monitor.sh写入如下
开始提权
