Photographer靶机

环境配置

download:

https://download.vulnhub.com/photographer/Photographer.ova

信息收集

获取到靶机的mac地址来进行查找ip地址

nmap -sP 172.16.10.0/24

使用nmap进行对端口的扫描

发现开放了80,139,445,8000端口

smbclient

因为看到有139和445端口开放，所以是存在smb服务的，并且靶机系统是linux，使用smbclient工具来进行查看是否有共享的文件

发现是有sambashare这个文件存在的

smbclient //172.16.10.169/sambashare #ftp客户端一样进行连接

进行连接后发现有两个文件，使用get命令将文件进行下载

里面的mailsent.txt文件是一个邮件的内容

可以看到发送人是agi@photographer.com（agi）

而接收人是daisa@photographer.com（daisa）

在信件的内容中写到，你的网站准备好了，不要忘记你的秘密，my bodygirl

这个秘密就很值得怀疑，并且还是跟网站相关的

那就先去查看一下80端口的网站

使用dirb工具进行对网站目录的扫描

进行查看后没有发现什么有用的信息

那就继续对8000端口进行访问

点击页面最下面的链接

发现这个网站是一个cms，提供一流的照片和视频管理、博客、网站发布，并具有用于购买主题和插件的集成店面

所以像这样的cms一定会有后台的登录页面，一般的后台管理页面就是admin.html、login.php、admin.php、admin等，进行尝试后

这里需要输入邮箱账号和密码，那就能联想到之前在smb服务中拿到的邮件文件

daisa@photographer.com:babygirl

可以看到有一个视频的文件名字为shell.php，首先这个网站的语言肯定是php语言的，并且是可以进行上传文件的

文件上传

并且在上传页面上也有提示能上传的文件类型

可以使用抓包工具进行上传文件

可以先使用msfvemon来生成木马文件

然后将文件内容进行写入抓包工具

因为允许上传jpg等文件

所以在进行上传时需要将文件名进行修改

但是在上面的文件名也需要进行修改

将数据包进行发送

反弹shell

成功后，在metasploit中打开监听的模块

use exploit/multi/handler

对上传的文件进行访问，拿到网站用户的权限

获得了www-data用户的权限

看到home目录下有三个目录

拿到了第一个flag文件

提权

find -perm -u=s -type f 2>/dev/null

可以使用php7.2这个有suid权限来进行提权

/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"

可以拿到root权限