一、信息收集
这个靶机开启后机器的IP地址直接显示在终端上了。本次生
靶机IP:192.168.1.138
Kaili IP: 192.168.1.113
二、目录扫描
访问WEB界面
http://192.168.1.138
访问WEB的8585端口
结合目录扫描的结果,判定应该是Git 源码泄露。如何判断是否存在Git源码泄露可以参考下面这篇网文,在此也感谢该文的作者。
确定了Git源码泄露后,我们可以用工具将靶机的CMS后台源码下载到本地。获取文件网站源代码项目地址:github.com/arthaud/git…
使用下面命令行下载CMS源码到本地。
./git-dumper.py http://192.168.1.138/.git ~/website
查看database.php文件,数据库的用户名和密码分别是october和
SQ66EBYx4GT3byXH。
登录数据库管理平台http://192.168.1.138/adminer.php
选择backend_users 表,修改frank的账号密码为10$bp5wBfbAN6lMYT27pJMomOGutDF2RKZKYZITAupZ3x8eAaYgN6EKK,明文为wellsong。修改密码的方法可以借助在线工具bcrypt-generator.com/
使用frank的账户登录WEB后台管理http://192.168.6.155/backend/backend/auth/signin
选择 CMS - 进入以下页面
创建一个test或编辑Home文件,然后访问时get传参来执行shell。
上面的步骤完成后,可以得到一个一般账号www-data,在改账号的目录中继续寻找可用信息。我找到了app.ini.bak文件。这里面存放的是数据库的密码。后续的渗透步骤就是利用泄露的信息进入gitea后台并继续利用 sqlite3的公开漏洞进行系统提权,过程截图比较详细,不在赘述了。各位,晚安!
