Five86-2靶机渗透实战-vuluhub系列(七)

2022年01月14日 阅读数:3
这篇文章主要向大家介绍Five86-2靶机渗透实战-vuluhub系列(七),主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

这是vulnhub靶机系列文章的第七篇,本次主要知识点为:wordpress后台插件getshell,tcpdump抓取ftp流量,sudo滥用之service、passwd提权,话很少说,直接开始吧... php

靶机下载地址:https://www.vulnhub.com/entry/five86-2,418/html

 

原文连接:https://www.cnblogs.com/PANDA-Mosen/p/13202380.html

#001 环境搭建(nat)

攻击机kali:192.168.136.129python

靶机Dusk:192.168.136.142git

 

#002 实战writeup

寻找靶机ip,发现靶机ip为192.168.136.145github

netdiscover -i eth0

 

 

查看端口和服务开放状况,发现开放了21和80shell

nmap -sV -T4 192.168.136.145

 

 

首先访问一下http服务80端口,看到是wordpress的站网络

 

 

可是点击其余连接的时候,会跳转到一个域名,可是没法访问,应该是要设置本地的hosts文件,加上192.168.136.145   five86-2 便可,kali修改/etc/hosts文件便可tcp

 

#003 wpscan助力

Wordpress的站点,没什么好想的,先用wpscan扫一下,能够看到这里枚举出5个用户wordpress

wpscan --url http://192.168.136.145/ -e

 

有了用户名尝试爆破后台登录,再进行进一步利用,跑出两个url

wpscan --url http://192.168.136.145/ -e u -P /usr/share/wordlists/rockyou.txt

 

而后用帐号密码登录后台,发现有三个插件,接着就搜索插件存在的漏洞便可

 

利用exploit-db搜索发现Insert or Embed Articulate Content into WordPress Trial,这个插件有漏洞,https://www.exploit-db.com/exploits/46981

 

 

#004 插件漏洞利用

来看下poc做者的利用方法

 

 

一、首先制做一个poc.zip里面有index.html和index.php文件

 

 

二、添加新的插件

 

 

选择e-learning

 

选择刚才制做好的zip文件,点击upload

 

而后选择iFrame,而后点击insert

 

而后访问路径,成功getshell

 

 

 

#005 提权

首先执行反弹shell,新建一个php反弹shell的脚本

 

 

而后利用虚拟终端执行panda.php,而后kali开启监听便可收到shell

 

 

而后利用python一句话转换终端,可是一开始不成功,后面把python换成python3便可

 

 

#006 复杂的提权操做

1、揪出paul用户

由于www-data权限过低了,因此打算su到其余用户,尝试刚才爆破出来的两个用户,barney用户密码不对

 

 

尝试stephen用户,成功登录到stephen用户

 

 

由于暂时没有其余提权方法,因此,先利用ps -aux查看所有进程,发现一开始扫描出来的ftp服务是paul这个用户启动的

 

 

由于ftp是明文传输的,因此能够利用tcpdump导出流量
tcpdump的具体参数用法:

-D    #列出可用于抓包的接口。将会列出接口的数值编号和接口名
-i      #interface:指定tcpdump须要监听的接口。默认会抓取第一个网络接口
-w    #将抓包数据输出到文件中而不是标准输出,能够指定文件名
-r    #从指定的数据包文件中读取数据。使用"-"表示从标准输入中读取

 

一、 首先查看可抓取的接口

tcpdump -D 

 

 

二、 抓取流量,-w指定文件名为ftp.pcap

tcpdump -i br-eca3858d86bf -w ftp.pcap

可是当前目录显示没权限,因此咱们cd ~ 进入到当前用户的主目录,咱们这里要加上timeout 60 也就是超时时间为60秒,不然会一直抓

 

三、 读取文件内容,将读取到的内容复制下来,记事本打开,搜索PASS的字样,成功抓取到paul用户的密码

tcpdump -r ftp.pcap

 

而后su paul切换到paul用户

 

2、sudo滥用之service提权

sudo -l 查看到又蹦出来个peter用户,且不须要密码就能够操做service命令

 

 

直接切换到peter用户的shell

sudo -u peter service ../../bin/sh

 

 

 再次sudo -l,发现居然能够用passwd命令,ok直接改掉root密码,完事~

 

sudo passwd root成功改了root的密码为root

 

 

直接su root,切换到root用户便可

 

 

最后进入到root目录,成功读取到flag

 

 

#007 总结概括

Wpscan的使用,爆破wp后台密码,枚举用户等

Exploit-db的使用,经过wp已经安装的插件寻找漏洞进行getshell

Php一句话反弹shell的利用

Tcpdump的使用,抓取ftp的tcp流量,成功抓取密码

Sudo滥用之service提权,passwd命令修改root密码

 

最后,给出sudo提权参考连接:https://gtfobins.github.io/