THM靶场blog
1.信息收集
nmap一下
看到445端口我先直接尝试用ms17-010
发现不行
这里发现它使用的cms版本为WordPress5.0
用msf搜索这个存在的历史漏洞
2.漏洞搜索
利用该漏洞前提需要知道网站username和password
因为是WordPress 所以可以用wpscan抓取网页用户
wpscan --url 10.10.71.235 -e u
bjiel
kwheel Karen
Wheeler
Billy Joel
爆破的过程是漫长的
最后爆出用户名 kwheel 密码 cutiepie1
3.漏洞利用
反向连接创建不了session
改用正向连接
set payload php/meterpreter/bind_tcp
成功创建session
shell 进入
python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
变为可交互式方便操作
find / -name *user.txt > 2.txt
操作了半天被骗了
4.提权
find / -type f -perm -u=s 2>/dev/null
发现suid权限的命令 checker
尝试执行
执行命令他说我们不是admin,并且为一个64位elf文件,用ltrace查看他引用了哪些函数,看到getenv()函数,就可以知道他与环境变量有关,添加一个环境变量:admin=1,再执行命令权限已经为root,好家伙又学到了一招。
一招。
[外链图片转存中…(img-l9pVlDpR-1712746041108)]
[外链图片转存中…(img-fOf9e5yz-1712746041108)]
提权成功