本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.140
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.140 -o ./SwagShop-autorecon
就开放了两个端口,直接访问下80端口
看到最下面有个2014 magento,谷歌搜索了下这个关键字,发现是cms程序,找到了一个专门的扫描程序,Releases · steverobbins/magescan · GitHub
扫描一把得知目标靶机的版本,确认存在漏洞,漏洞详情:CVE-2015-1397 : SQL injection vulnerability in the getCsvFile function in the Mage_Adminhtml_Block_Widget_Grid class in Magento Communit (cvedetails.com)
对应的漏洞exploit地址:
Magento-Shoplift-SQLI/poc.py at master · joren485/Magento-Shoplift-SQLI · GitHub 此漏洞是SQL注入漏洞,可以直接添加管理员账号,对应GitHub的对应版本的程序Release 1.9.0.0 · OpenMage/magento-mirror · GitHub
直接利用此exploit直接添加用户
使用上面的账号和密码登录到目标web应用,登录到后台之后按照如下操作步骤进行反弹shell
System-ADVANCED-Developer
将其改成yes
Catalog-Manage Categories-Add Root Category
添加反弹shell代码,格式是gif格式 http://pentestmonkey.net/tools/web-shells/php-reverse-shell
Newsletter-Newsletter Templates-Add New Template
上述名称最好与前面步骤配置的名称要一样,写完上述代码保存,然后点击预览,本地监听反弹端口,等待反弹shell
{{block type='core/template' template='../../../../../../media/catalog/category/revshell.php.gif'}}
执行了sudo -l
得知可以通过vi进行提权,vim提权参考:https://gtfobins.github.io/gtfobins/vim/
提权一步到位直接执行
sudo /usr/bin/vi /var/www/html/php.ini.sample -c ':!/bin/bash'
或者
sudo /usr/bin/vi /var/www/html/index.php -c ':!/bin/sh' /dev/null