ssh爆破
web目錄爆破
到index.html看原始碼
再爆破一次
翻README得知使用Nibbleblog v4.0.3
google後得知可遠端上傳檔案,但須有帳號登入權限,先搜尋相關帳密,但找到的資訊無法利用
至admin.php嘗試htb常見弱密碼admin:admin、admin:password、admin:靶機名稱、靶機名稱:password等
先啟用My image pluginhttp://10.10.10.75/nibbleblog/admin.php?controller=plugins&action=install&plugin=my_image
到My image設定頁面上傳reverse shell,發現上傳後顯示成功,但無法存取到poc提到的對應路徑
嘗試將shell檔名改為image.php後,重新存取該路徑,即可獲得user權限的shell
先嘗試sudo -l,得知可以root權限執行monitor.sh
於nibbler桌面發現personal.zip,透過unzip解壓縮後,會在personal/stuff/路徑下新增monitor.sh檔案
到該目錄下發現monitor.sh為777權限
直接把內容改為bash -i
因尚未取得tty shell,嘗試透過python -c 'import pty; pty.spawn("/bin/bash");'發現沒有python
which python、which python3發現須改為python3
執行sudo monitor.sh
沒有留言:
張貼留言