Nibbles(sudo no pass )
端口扫描
nmap -sS -Pn 10.10.10.75 -vv
1 | |
web探测
Info1:
Apache/2.4.18 (Ubuntu) Server
Info2:
http://10.10.10.75/nibbleblog/themes/note-2/views/blog/view.bit
var HTML_PATH_ROOT = “/nibbleblog/“;var HTML_PATH_ADMIN = “/nibbleblog/admin/“;var HTML_PATH_ADMIN_AJAX = “/nibbleblog/admin/ajax/“;var HTML_PATH_ADMIN_JS = “/nibbleblog/admin/js/“;var HTML_PATH_ADMIN_TEMPLATES = “/nibbleblog/admin/templates/“;var _MAX_FILE_SIZE = 1024 * 3000;
Info3:
/nibbleblog/admin/templates/
在这个目录下找到一些图片,有一些图片,看时间是今天,明显是其他人传上去的webshell。
Info4:
feed.php,有人新建了一个用户。说明有些关键的文件我还没发现。
Info5:
http://10.10.10.75/nibbleblog/content/private/plugins/my_image/db.xml
<plugin name=”My image” author=”Diego Najar”
该插件,有一个作者名称,说不定有用,mark一下。
GET /nibbleblog/index.php?controller=post&action=view&id_post=7 HTTP/1.1
经过上面的信息搜集,摸索到了一些头绪。
在上传图片时,nibbleBlog没有检查文件类型,于是可以上传php文件。
参考资料:nibbleBlog命令执行漏洞
以上的信息都是经过以下步骤获取,为了方便查看,统一放在此处。
好,既然说了这里没有什么有趣的!
此地无银三百两。。
- Trying
dirbuster目录扫描,发现目录遍历。
通过目录遍历,翻找发现,很多文件都是xml(可扩展标记语言文件)。怀疑有xxe漏洞,xml external entyty,xml外部实体注入。
- Trying 进行验证
在feed.php源码,http://10.10.10.75/nibbleblog/feed.php
在burp数据包添加xml语句,返回包并没有什么不同。。难道并没有xml外部实体注入?
发现一个页面,有xml解析错误。说明对xml文件有解析。。经验不够,分析不出什么了。
- Trying :找后台
通过google搜索,得知该cms的后台http://10.10.10.75/nibbleblog/admin.php
就尝试登陆了一次,提示Nibbleblog security error - Blacklist protection
就被加入了黑名单。。
文件上传获得shell
1 | |
提权
参考以前做过的方式
LTR Scene(php写入一句话+sudoer提权)
1 | |
方法二:
不必上传netcat。
monitor.sh
1 | |
运行sudo ./monitor.sh后,本地即可从nibbler到root
总结
一般来说,黑名单限制登陆,是不允许暴力破解的。
但是这个靶机用的是弱密码,=。=
这就很尴尬了