LampSecurityCTF5

靶机搭建

下载链接

https://download.vulnhub.com/lampsecurity/ctf5.zip

注意下载后kali和靶机都要是nat模式

信息搜集

主机发现

对c段进行扫描，发现了143这台主机

端口扫描

快速TCP扫描

提取一下开放的端口号

常见端口的UDP扫描

详细TCP扫描

漏洞脚本扫描

和前面的一个靶机一样，依旧可能有sql注入

漏洞探测

Web渗透

查看80端口

照例先扫目录

webmail有登录页面

list是注册页面

到处都有phake，搜索一下

Phake 是一个强大的 PHP 测试框架，旨在简化单元测试的编写。它允许开发者通过模拟对象来替换依赖，从而提高测试覆盖率和效率。

搜一下有没有CVE，可惜没搜到

前面漏洞脚本扫出来可能有sql注入，但我没找到注入点

在翻阅网站的过程中，看到了这个页面，左下角有NanoCMS的字样

搜一下CVE

这个脚本可以上传一个反弹shell，试一下

看一下用法，先构造一个php文件

命令可以用msfvenom生成

方法一

运行后发现用默认密码登录不上去，说明改过密码了，爆破一下吧

一下子就爆破出来了，密码是shannon

方法二

这里不用爆破也可以，搜索nanocms可以找到这篇文章

/data/pagesdata.txt中泄露了密码的哈希值

拿到密码哈希9d2f75377ac0ab991d40c91fd27e52fd

用hashcat爆破

-m 0：指定哈希类型为0即md5
-a 0：攻击模式为字典

hashcat -m 0 -a 0 9d2f75377ac0ab991d40c91fd27e52fd /usr/share/wordlists/rockyou.txt

很快也爆出来了

获得立足点

成功了，访问http://192.168.213.143/~andy/data/pages/25fe2c06.php

拿到shell

靶机有python，升级一下终端

python -c "import pty;pty.spawn('/bin/bash');"

执行sudo -l需要密码，尝试了几个都不对

找一下包含pass的敏感文件

grep -R -i 'pass' /home/* 2>/dev/null

有root passwd的字样

读一下这个文件，找到了一个密码

真是root的密码，提权成功