• Five86-2靶机渗透实战-vuluhub系列(七)


    这是vulnhub靶机系列文章的第七篇,本次主要知识点为:wordpress后台插件getshell,tcpdump抓取ftp流量,sudo滥用之service、passwd提权,话不多说,直接开始吧... 

    靶机下载地址:https://www.vulnhub.com/entry/five86-2,418/

     

    #001 环境搭建(nat)

    攻击机kali:192.168.136.129

    靶机Dusk:192.168.136.142

     

    #002 实战writeup

    寻找靶机ip,发现靶机ip为192.168.136.145

    netdiscover -i eth0

     

    查看端口和服务开放情况,发现开放了21和80

    nmap -sV -T4 192.168.136.145

     

    首先访问一下http服务80端口,看到是wordpress的站

     

    但是点击其他链接的时候,会跳转到一个域名,但是无法访问,应该是要设置本地的hosts文件,加上192.168.136.145   five86-2 即可,kali修改/etc/hosts文件即可

    #003 wpscan助力

    Wordpress的站点,没什么好想的,先用wpscan扫一下,可以看到这里枚举出5个用户

    wpscan --url http://192.168.136.145/ -e

    有了用户名尝试爆破后台登陆,再进行进一步利用,跑出两个

    wpscan --url http://192.168.136.145/ -e u -P /usr/share/wordlists/rockyou.txt

    然后用账号密码登陆后台,发现有三个插件,接着就搜索插件存在的漏洞即可

    利用exploit-db搜索发现Insert or Embed Articulate Content into WordPress Trial,这个插件有漏洞,https://www.exploit-db.com/exploits/46981

     

    #004 插件漏洞利用

    来看下poc作者的利用方法

     

    1、首先制作一个poc.zip里面有index.html和index.php文件

     

    2、添加新的插件

     

    选择e-learning

    选择刚才制作好的zip文件,点击upload

    然后选择iFrame,然后点击insert

    然后访问路径,成功getshell

     

    #005 提权

    首先执行反弹shell,新建一个php反弹shell的脚本

     

    然后利用虚拟终端执行panda.php,然后kali开启监听即可收到shell

     

    然后利用python一句话转换终端,但是一开始不成功,后面把python换成python3即可

    #006 复杂的提权操作

    一、揪出paul用户

    因为www-data权限太低了,所以打算su到其他用户,尝试刚才爆破出来的两个用户,barney用户密码不对

     

    尝试stephen用户,成功登陆到stephen用户

     

    因为暂时没有其他提权方法,所以,先利用ps -aux查看全部进程,发现一开始扫描出来的ftp服务是paul这个用户启动的

     

    因为ftp是明文传输的,所以可以利用tcpdump导出流量
    tcpdump的具体参数用法:

    -D    #列出可用于抓包的接口。将会列出接口的数值编号和接口名
    -i      #interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口
    -w    #将抓包数据输出到文件中而不是标准输出,可以指定文件名
    -r    #从指定的数据包文件中读取数据。使用"-"表示从标准输入中读取

     

    1、 首先查看可抓取的接口

    tcpdump -D 

     

    2、 抓取流量,-w指定文件名为ftp.pcap

    tcpdump -i br-eca3858d86bf -w ftp.pcap

    但是当前目录显示没权限,所以我们cd ~ 进入到当前用户的主目录,我们这里要加上timeout 60 也就是超时时间为60秒,否则会一直抓

    3、 读取文件内容,将读取到的内容复制下来,记事本打开,搜索PASS的字样,成功抓取到paul用户的密码

    tcpdump -r ftp.pcap

    然后su paul切换到paul用户

    二、sudo滥用之service提权

    sudo -l 查看到又蹦出来个peter用户,且不需要密码就可以操作service命令

     

    直接切换到peter用户的shell

    sudo -u peter service ../../bin/sh

     

     再次sudo -l,发现竟然可以用passwd命令,ok直接改掉root密码,完事~

     

    sudo passwd root成功改了root的密码为root

     

    直接su root,切换到root用户即可

     

    最后进入到root目录,成功读取到flag

    #007 总结归纳

    Wpscan的使用,爆破wp后台密码,枚举用户等

    Exploit-db的使用,通过wp已经安装的插件寻找漏洞进行getshell

    Php一句话反弹shell的利用

    Tcpdump的使用,抓取ftp的tcp流量,成功抓取密码

    Sudo滥用之service提权,passwd命令修改root密码

    最后,给出sudo提权参考链接:https://gtfobins.github.io/

  • 相关阅读:
    git初学
    Android中activity的四个启动模式
    onsaveInstanceState有关问题
    default activity not found的问题
    实现随手指移动
    入园第一天
    玩转Django2.0---Django笔记建站基础八(admin后台系统)
    玩转Django2.0---Django笔记建站基础七(表单与模型)
    玩转Django2.0---Django笔记建站基础六(模型与数据库)
    玩转Django2.0---Django笔记建站基础五(模板)
  • 原文地址:https://www.cnblogs.com/PANDA-Mosen/p/13202380.html
Copyright © 2020-2023  润新知