1.靶机简介
靶机为Driftingblues5,
下载地址为[https://download.vulnhub.com/driftingblues/driftingblues5_vh.ova]
2.主机发现
nmap -sP 192.168.17.0/24扫描同网段的主机,发现ip地址为192.168.17.138
nmap -sV 192.168.17.138扫描目标开通的端口,发现开放22(ssh服务)和80(http服务)
3.进攻
使用浏览器访问,发现这是一个使用wordpress搭建的博客平台,那我就可以使用Wpscan扫一波了啊
Wpscan是一款专门扫描Wordpass漏洞的黑盒扫描器,有枚举用户名、插件、主题以及它们存在的漏洞等功能。
wpscan -url http://192.168.17.138 -e u,ap,at 发现几个用户名,abuzerkomurcu,collins,gill,satanic,gadd,但是并没有发现存在漏洞的插件
制作dic字典,尝试对用户名进行爆破
cewl -d 3 —with-numbers “http://192.168.17.138/index.php“ -w dic.txt
使用wpscan对用户名进行爆破
wpscan —url http://192.168.17.138 -e u —passwords /home/blue5/dic.txt
成功拿下用户名密码,登录博客网站看一下
登录之后发现这是一个普通账户,不过幸运的是,在媒体文件夹中,发现一个奇怪的图片。将图片下载,使用exiftool工具查看图片发现gill远程连接的密码为59583hello
使用ssh远程连接,拿到第一个flag
距离成功更近一步,我们尝试提权!
4.提权
在gill用户的文件夹中发现一个keyfile.kdbx文件,这是一种数据库的加密文件。
查看keyfile.kdbx的base64编码,并复制到kali虚拟机里面,方便后续进行爆破。
查看md5值,确保复制到kail里面的文件与靶机里面的完全一致
使用john工具进行爆破,成功找到密码
上传到keeWeb打开,地址为:https://app.keeweb.info/ 发现了六个词条,分别为2real4surreal、buddyretard、closet313、exalted、fracturedocean、zakkwylde
我们在回过头看一下靶机根目录的文件,发现一个奇怪的文件,keyfolder,进去查看之后发现是空的。
下载pspy64,并用xftp将文件传输到靶机的gill文件夹中,下载地址为https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
给pspy64添加可执行权限
发现在根目录每分钟运行一个脚本
尝试使用keyfile.kdbx中的名称新建文件,一旦获得正确的名称,我们会获得一个新的文件
果然不出所料,找到了root的密码,nice!
成功拿下root权限已经第二个flag。
强网杯 2021 baby_diary 漏洞 申请和show的时候没有检查负数 在申请空间的时候有off-by-one。 利用 泄漏 在bss段附近存放了地址,该地址指向的内容还是这个值。 二进制文件会输出地址处指向的内容 思路为指定index为负数进行泄漏。…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论