主機資訊
kali: 192.168.1.12
Momentum:192.168.1.101
資訊收集
通過nmap掃描目標主機發現僅開放22、80埠
nmap -T4 -A -v -p- 192.168.1.101
打開首頁就是一張圖片沒有任何資訊
通過掃描發現一個blog的目錄
dirb http://192.168.1.101 /usr/share/wordlists/dirb/big.txt
打開后發現是wordpress的blog
點擊notice是發現無法跳轉到,然后修改hosts檔案
打開notice之后看到提示
通過wpsan掃描到一個漏洞
然后通過--plugins-detection aggressive模式掃描到4個漏洞
可以看到有多個漏洞都是File Manager的
通過msf查詢到幾個漏洞利用工具
GETSHELL
配置遠程地址、本地地址、URI之后進行攻擊,獲取到shell
使用python獲取一個ttyshell
python3 -c 'import pty; pty.spawn("/bin/bash");'
查看家目錄時,在hagrid98的家目錄發現一個檔案
解密后提示日記在密室被銷毀了
1: RidDlE's DiAry dEstroYed By haRry in chaMbEr of SeCretsz
查找帶有wordpress的目錄名
find / -type d -name "wordpress" 2>/dev/null
提權
進入目錄查看找到資料庫密碼
define('DB_NAME', 'wordpress');
define('DB_USER', 'root');
define('DB_PASSWORD', 'mySecr3tPass');
define('DB_HOST', 'localhost');
define('DB_COLLATE', 'utf8_general_ci');
define('WP_CONTENT_DIR', '/usr/share/wordpress/wp-content');
通過獲取到的用戶名對ssh進行爆破失敗
然后使用該密碼登錄mysql成功
進入wordpress庫查詢wp_users表得到用戶名密碼
解密得到密碼
嘗試用密碼登錄ssh發現可以登錄成功
查詢是否存在suid提權
find / -perm -u=s -type f 2>/dev/null
查詢后發現沒有可利用的
然后查找備份檔案發現一個腳本
find / -name "*back*"
首先在/tmp/下寫入一個反彈shell的php木馬
然后通過crontab執行并反彈回root權限shell
進入root目錄查看flag
?
加入我的星球
下方查看歷史文章
VulnHub之DC-1
VulnHub之DC-2
VulnHub之DC-3
VulnHub之DC-4
VulnHub之MuzzyBox
【工具分享】AWVS 12 漢化破解版
通達OA任意上傳&檔案包含漏洞復現
掃描二維碼
獲取更多精彩
NowSec
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/287870.html
標籤:其他