Vulnhub篇Photographerr

0x00 靶机信息

靶机：Photographerr：1

难度：中

下载：https://www.vulnhub.com/entry/photographer-1,519/

0x01 信息收集

靶场网段：192.168.12.0/24

Nmap扫描靶场网段，寻找目标靶机IP以及相关端口服务

发现3个疑似IP,尝试访问这些IP的Web服务来快速判断哪个是靶机IP

访问192.168.12.142成功，根据网页内容确定是这个IP，接下来获取端口服务信息

开放端口：80，139，445，8000

刚刚已经访问过80端口的页面了，静态页面，暂时没有找到有价值的地方

访问8000端口，发现是一个Koken的CMS网站 版本0.22.24

扫下目录

访问admin后台页面

后台账号格式为邮箱，因为不知道邮箱，也没有办法去进行爆破，在exp库中找到koken版本0.22.24的上传漏洞

遗憾的是这个上传漏洞是后期的，现在需要先登入后台，才可以利用这个漏洞

继续探索其他端口，使用enum4linux探索445端口

Samba服务，连接上去看看有没有上面信息

匿名连接上去发现两个文件，一个txt文本一个压缩包

Txt文本内是一封邮件，这里我们就得到了邮箱号，密码应该是babygirl

尝试登入一下

登入成功，接下来就可以利用上传漏洞了

0x02 漏洞利用

使用Kali自带的php反弹脚本来进行利用

先copy出来，然后修改接收反弹的IP和端口

接下来上传，使用burp修改后缀名

上传完成

在content中找到我们刚刚上传的，并访问，kali设置监听

成功获取到shell

0x03 提权

获取交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

查看suid权限的程序文件

find / -perm -u=s -type f 2>/dev/null

有一个php7.2，那就用他来提权

/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"

至此通关

更多靶机讲解，思路方法，公众号：靶机世界

自动判断
中文
中文(简体)
中文(香港)
中文(繁体)
英语
日语
朝鲜语
德语
法语
俄语
泰语
南非语
阿拉伯语
阿塞拜疆语
比利时语
保加利亚语
加泰隆语
捷克语
威尔士语
丹麦语
第维埃语
希腊语
世界语
西班牙语
爱沙尼亚语
巴士克语
法斯语
芬兰语
法罗语
加里西亚语
古吉拉特语
希伯来语
印地语
克罗地亚语
匈牙利语
亚美尼亚语
印度尼西亚语
冰岛语
意大利语
格鲁吉亚语
哈萨克语
卡纳拉语
孔卡尼语
吉尔吉斯语
立陶宛语
拉脱维亚语
毛利语
马其顿语
蒙古语
马拉地语
马来语
马耳他语
挪威语(伯克梅尔)
荷兰语
北梭托语
旁遮普语
波兰语
葡萄牙语
克丘亚语
罗马尼亚语
梵文
北萨摩斯语
斯洛伐克语
斯洛文尼亚语
阿尔巴尼亚语
瑞典语
斯瓦希里语
叙利亚语
泰米尔语
泰卢固语
塔加路语
茨瓦纳语
土耳其语
宗加语
鞑靼语
乌克兰语
乌都语
乌兹别克语
越南语
班图语
祖鲁语

自动选择
中文
中文(简体)
中文(香港)
中文(繁体)
英语
日语
朝鲜语
德语
法语
俄语
泰语
南非语
阿拉伯语
阿塞拜疆语
比利时语
保加利亚语
加泰隆语
捷克语
威尔士语
丹麦语
第维埃语
希腊语
世界语
西班牙语
爱沙尼亚语
巴士克语
法斯语
芬兰语
法罗语
加里西亚语
古吉拉特语
希伯来语
印地语
克罗地亚语
匈牙利语
亚美尼亚语
印度尼西亚语
冰岛语
意大利语
格鲁吉亚语
哈萨克语
卡纳拉语
孔卡尼语
吉尔吉斯语
立陶宛语
拉脱维亚语
毛利语
马其顿语
蒙古语
马拉地语
马来语
马耳他语
挪威语(伯克梅尔)
荷兰语
北梭托语
旁遮普语
波兰语
葡萄牙语
克丘亚语
罗马尼亚语
梵文
北萨摩斯语
斯洛伐克语
斯洛文尼亚语
阿尔巴尼亚语
瑞典语
斯瓦希里语
叙利亚语
泰米尔语
泰卢固语
塔加路语
茨瓦纳语
土耳其语
宗加语
鞑靼语
乌克兰语
乌都语
乌兹别克语
越南语
班图语
祖鲁语

有道翻译
百度翻译
谷歌翻译
谷歌翻译（国内）

翻译 朗读 复制 正在查询，请稍候…… 重试 朗读 复制 复制 朗读 复制 via 谷歌翻译（国内） 译