Vulnhub吊舱Five86-2详尽分析

admin 1月前 16

喜爱就关心我啊,定阅大量最新动态 VulnHub网站渗透测试实战演练射击场Jarbas 1.0 Jarbas1.0是一个难度系数为初中级的Boot2root/CTF挑戰,试验目地是获得总体目标root shell获得flag。 上篇引路-Vulnhub吊舱Five86-1详尽分析 吊舱详细地址: 技术性点小结 ?对WordPress网址的渗入 –wpscan ?WordPress中IEAC软件的RCE漏洞 –WordPress软件IEAC漏洞剖析及组成利用试着 ?tcpdump的应用 –tcpdump应用详细说明 总体目标发现 nmap -sP 主要参数应用 ping 扫描仪局域网络服务器,目地详细地址为 192.168.56.6 nmap -A 192.168.56.6 -p- 能够见到总体目标服务器的一些信息内容,-A 是开展电脑操作系统指纹识别和版本号检验,-p- 是全端口号 对外开放了 22、21、80 端口号,而且 80 端口号是WordPress 5.1.4的CMS 这儿最好是提早在/etc/hosts中再加上192.168.56.6 five86-2这一条,由于后边浏览wordpress的后台管理wp-admin的时候会自动跳转到这一网站域名 漏洞发现与利用 在searchsploit和Google并沒有发现WordPress 5.1.4的漏洞,可以用wpscan扫描仪一下这一URL。wpscan是一款对于WordPress的扫描枪,详尽的应用能够参照WPScan应用详细攻略大全。 默认设置扫描仪会回到总体目标网站的分布式数据库、XML-RPC、readme文档、提交途径、WP-Corn、版本号、主题风格、全部的软件和备份数据。 命令wpscan -u 这儿并沒有发现很有效的信息内容,考虑到去枚举类型登录名,随后相互配合rockyou.txt去爆破密码。爆破登录名命令wpscan --url --enumerate u,发现了五个客户 peter admin barney gillian stephen 爆破密码命令wpscan --url -U user.txt -P /usr/share/wordlists/rockyou.txt 最后爆破出去2个結果 Username: barney, Password: spooky1 Username: stephen, Password: apollo1 应用barney登陆后台管理能够见到这一网站安裝了三个软件,可是只激话了一个Insert or Embed Articulate Content into WordPress Trial(IEAC) Akismet Anti-Spam Version 4.1.1 Hello Dolly Version 1.7.1 IEAC Version 4.2995 在Google上搜索一下,不会太难搜到这一软件的RCE:WordPress软件IEAC漏洞剖析及组成利用试着,在exploit-db上也是有 老先生成poc.zip, echo "hello" > index.html echo "" > index.php zip poc.zip index.html index.php 随后登陆wordpress后台管理,挑选新创建文章内容 挑选加上区块链 挑选E-Learning 提交poc.zip 挑选Insert As iFrame 能够见到提交的部位,换句话说之前的shell部位为 检测这就取得了shell 应用php-reverse-shell去反跳shell,浏览 就可以见到反跳的shell,还并不是TTY,下面就想办法变为TTY吧 ls /home发现有八个文件目录,刚爆破来2个密码,一个登录了后台管理,还有一个沒有检测,而且2个都是在这八个客户里边。能够先试一下su barney,密码填spooky1,发现不成功,再试一下stephen,密码apollo1。这儿的shell不清楚为什么没有前边的$了,可是可以用 事实上,这儿的www-data能够立即应用python3 -c 'import pty;pty.spawn("/bin/bash")'变为TTY,那样很有可能更便捷一些 随后再sudo -l发现必须密码,而且并不是spooky1,因此還是su stephen吧,发现stephen在一个名叫pcap的用户群中(pcap并不是流量套餐吗^_^) 随后sudo -l发现没法实行sudo 返回pcap那边,流量套餐是否代表着流量统计,试着ifconfig发现沒有这一命令,可是能够应用ip add,发现现阶段运作着好多个网线端口 这儿的最后一个插口好像是动态性的,每一次都不一样,能够应用tcpdump -D列举可用以抓包软件的插口。这儿挑选把后边2个抓下来,由于不太普遍。抓包软件命令为timeout 120 tcpdump -w 1.pcap -i veth2c37c59,在其中timeout 120就是指2分钟,-w是将結果輸出到文档,-i是特定监视端口号 能够去剖析一下这两个流量套餐,命令tcpdump -r 1.pcap,这儿-r是以给出的流量套餐获取数据,不会太难发现paul客户FTP的密码esomepasswford。后边2.pcap与1.pcap內容同样。 然后su paul,用上边的那一个密码发现能够登录。试着sudo -l发现stephen能够应用peter的service命令 那不就能够立即实行peter的/bin/bash了没有。命令sudo -u peter service /bin/bash。这儿要留意一下文件目录的难题,用相对性文件目录寻找/bin/bash的部位 获得peter的管理权限后,還是先sudo -l,发现他能够运作root客户的passwd命令,这我立即改动root的密码不就获得root管理权限了没有 现在是时候演出真实的技术性了。sudo -u root passwd root(强迫思维,全篇一致),用sudo passwd root一样的 寻找flag 1/21 热烈欢迎文章投稿至电子邮箱: 有才可以的你赶紧来文章投稿吧! 快戳“阅读”做射击场训练
最新回复 (0)
返回
发新帖