靶机地址

https://www.vulnhub.com/entry/bbs-cute-102,567/

信息收集

进行全端口扫描，确认目标开放端口和服务

nmap -n -v -sS --max-retries=0 -p- 172.16.33.9

对开放端口进行版本的扫描

nmap -sV -p22,80,88,110,995 -A 172.16.33.9

通过对各自服务的信息收集，并无入手点。对POP3服务进行过暴破，无结果

使用对web服务（80端口）进行目录及文件的发现

dirsearch -u http://172.16.33.9

# 如果要指定目录和指定扩展名，记得加参数 -f 进行文件发现，否则拼接出来全部是目录

dirsearch -u 172.16.33.9 -e php -f  --wordlists=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --thread=1000

结果如下：

尝试多个页面后，在index.php页面中发现有版本信息 CuteNews 2.1.2

利用漏洞拿shell

使用searchsploit搜寻相关版本漏洞利用代码，有一个远程命令执行的exp --> 48800.py

初次利用并不成功，查看源代码，结合目录扫描的结果发现所有路径都多了 一个/CuteNews

删掉后重新利用，成功获得低权限shell

使用netcat给kali弹回来一个shell, 这样使用起来更方便

使用 python 换一个更舒服的 shell

python -c "import pty;pty.spawn('/bin/bash')"

提权

传上去一个linpeas.sh跑一下，发现一些带suid位的文件可利用

可以验证一下

find / -perm -u=s -type f 2>dev/null

# find / -perm /4000 -type f -user root 2>/dev/null

通过查资料得含有suid位的hping3可提权

进入hping3界面，查看权限，发现有查看root用户的权限。

也可以直接修改/etc/passwd和/etc/shadow文件，直接获得root权限

参考资料

hping3 提权

最新文章

1. js②
2. 《SharePoint 2013 应用开发实战》目录
3. 通过源码成功启动odoo 10.0
4. github.com/dotnet/orleans
5. AngularJS学习手册
6. 2015第25周三iframe小结
7. 通过非root用户访问VNC
8. BJOI2019做题笔记
9. AWS Nginx Started but not Serving AWS上Nginx服务器无法正常工作
10. 搭建Sonar代码走查环境
11. Laravel 项目中编写第一个 Vue 组件
12. Swift 值类型和引用类型的内存管理
13. Centos7编译安装zabbix-4.0.1
14. 用条件随机场CRF进行字标注中文分词（Python实现）
15. linux命令:文件搜索命令
16. Mysql/Mariadb 升级注意事项
17. 使用Sed和Awk实现批量文件的文本替换
18. java学习笔记—web计算器（36）
19. java浅拷贝和深拷贝(基础也是很重要的)
20. 海思hi35xx 开发学习(1):海思媒体处理平台架构

热门文章

1. GIT安装步骤记录以及Git 常用命令,忽略文件，推送本地代码到仓库示例以及报错解决
2. 前端防错以及好用小tips指南总结
3. 一篇文章带你掌握Flex布局的所有用法
4. 逗号(,)运算符在Javascript中
5. 1月9日内容总结——linux相关知识简介、虚拟化软件vmware、远程链接工具xshell
6. 1月3日内容总结——bbs项目登陆页面和主页、个人站点页的搭建
7. 硬件协议之uart
8. vue-seamless-scroll滚动加点赞衔接处数据不同步问题
9. window C盘满了/文件夹太长怎么移动
10. 魔兽世界2009年更换代理，九城CEO至全体员工公开信