LAMPSecurityCTF5靶机WP

下载地址：https://download.vulnhub.com/lampsecurity/ctf5.zip

一两个月前打的，凭记忆复现，可能攻击链的体现不是特别流畅，望海涵

扫描出的端口有点多，继续深入扫描判断一下攻击链优先级

具体各种服务介绍见另外一篇笔记https://www.yuque.com/yuqueyonghu9xetqv/mf54mi/hduwuagzlyx2fatc）

进行tcp详细扫描和nmap脚本扫描

对通信端口和数据库服务简单尝试连接和进行匿名访问，无重要信息

把重心放在80端口

web渗透

访问目标地址

观察页面，ph通f,应该是网络用语，虚假组织的意思，

大概是说用邮件注册可以得到活动信息这样一个网站

选了选网站的可选项，发现blog比较有趣，是一个比较正式的页面，下方也写了有nanocms提供支持。其他选项看url应该是用文件包含的形式呈现内容的

通过报错排查得知，后缀固定为php

那就看看nanoCMS有没有相关漏洞，先searchsploit后谷歌

在此之前要先确认一下版本，看看源码

暂时没有看到版本号

在博客里看到一个admin login,我们先扫一扫目录，如果没有发现其他信息，到时候试试爆破

如果有blog的子目录，到时候继续看看有没有版本号，可以看到资产还是很多的，有phpmyadmin

大致看了下，先尝试爆破nanocms后台

用admin和andy作为用户名字典，很快爆出了密码

成功登录，同时也看到之前怎么也找不到的版本号就正大光明的摆在后台，searchsploit也正好有该版本的漏洞

看看这个py文件

Description:
# this script uploads a php reverse shell to the target.
# NanoCMS does not sanitise the data of an authenticated user while creating
# webpages. pages are saved with .php extensions by default, allowing an
# authenticated attacker access to the underlying system:
# https://github.com/ishell/Exploits-Archives/blob/master/2009-exploits/0904-exploits/nanocms-multi.txt

这份脚本是一个针对 NanoCMS v0.4 的远程代码执行（RCE）漏洞利用工具，它通过模拟一个已认证的用户上传一个 .php 后门页面，从而实现命令执行或反弹 shell。

大致原理：

exploit(): 上传本地的恶意php文件

execute():上传成功后访问.php页面触发反弹shell

try -h