一、思路概况
1.通过nmap扫描80开放端口,响应头发现域名
2.通过wpscan扫描wordpress发现了未授权漏洞,看到内部域名
3.新web中存在LFI漏洞,查看系统配置找到ssh凭证
4.linpeas提权辅助,通过CVE-2021-3560提权root
二、信息搜集
使用nmap 扫描开放了22,80端口,扫描详细信息发现域名
当访问80端口服务时,我注意到一个名为“x-backend-server”的请求头,它的值是“office.paper”
绑定到本地host
echo "10.129.126.228 office.paper" >> /etc/hosts三、wordpress未授权漏洞
发现是wordpress框架,使用wpscan扫描一下,发现了一个未授权漏洞
在url后面添加 ?static=1 后,发现可以在未授权的情况下访问所有私密页面的内容
把这个域名加入到host中
echo "10.129.126.228 chat.office.paper" >> /etc/hosts四、LFI漏洞
访问后是个聊天界面,注册个账号
登陆会弹出一个群聊,里头有个机器人recyclops,可以取文件
私聊他会有LFI漏洞
recyclops file ../../../../../etc/passwd
/proc/self/目录 查看当前运行的系统信息
recyclops file ../../../../../../../home/dwight/hubot/.env
使用凭证登录ssh
dwightQueenofblad3s!23
五、CVE-2021-3560提权root
linpeas扫描出CVE-2021-3560 Polkit权限提升漏
CVE-2021-3560 是 polkit 上的身份验证绕过,它允许非特权用户使用 DBus 调用特权方法。Polkit是 Linux 授权系统的一部分,集成了systemd它的操作,并且比传统的sudo系统更具可配置性。它有时被称为sudo of systemd
CVE-2021-3560 poc https://github.com/Almorabea/Polkit-exploit
上传py脚本并运行
python3 CVE-2021-3560.py
原文始发于微信公众号(靶机狂魔):靶机—— Paper
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论