攻防靶场(43)：十几分钟就能通关的靶场 BBSCute

靶场下载地址：https://www.vulnhub.com/entry/bbs-cute-102,567/

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP、88/HTTP、110/POP3、995/POP3。

1.3 主动扫描：字典扫描

扫描80/HTTP的目录和页面，发现/index.php页面。

1.4 搜索目标网站

访问/index.php页面，发现是CuteNews 2.1.2搭建的网站。

2. 初始访问

2.1 利用面向公众的应用

CuteNews可以注册帐号，注册一个，登录后台。

验证码在后台请求可以看到。

登录后台，在个人配置的个人头像这里找到上传接口。

准备图片马并上传。

将文件后缀改为php，上传成功后获得图片马地址。

由于图片马地址使用了域名，需要在Kali中绑定域名。

访问图片马，触发执行，获得www-data用户权限。

3. 权限提升

3.1 滥用特权控制机制：Setuid和Setgid

任意用户执行hping3命令时，是以root用户的权限执行。

hping3命令能用于提权

通过hping3命令获得root用户权限