下载地址:https://www.vulnhub.com/entry/five86-2,418/
前言:
作为小白(略),文中提到的工具仅供学习。
Kali:192.168.109.129
目标机:192.168.109.141
信息收集:
漏洞挖掘:
从扫描信息来看,只能访问80端口,ftp无法匿名登录。进入80端口后,发现是一个WordPress网站,使用wpscan扫描一下,列举用户名,列举所有插件。
获得5个用户名,也可以利用版本信息搜索已知漏洞。
没有找到插件。对此可以爆破一下txt文件,看看有没有密码提示,也可以直接爆破。这里爆破后没有结果,那就爆破。最后发现两个用户的密码。
登录后台查看一下,stephen权限太低了,使用barney登录。登录后权限还是没有admin大,所以想到xss,但是搜索该版本漏洞后没有xss,而且也不是很现实(想到xss原因是使用nikto扫描发现没有设置http-only头,存在盗取cookie的风险)。
在一番翻找后,觉得应该是从插件下手,在update里有四个插件,最诱人是user role editer,搜索后确实发现了已知提权漏洞,但是版本不相匹配。
在插件中,该账号能控制3个插件(上图前三个),
针对这三个插件搜索已知漏洞。发现远程代码执行漏洞。
利用方法如下:
根据这个指导,写入一句话木马,反弹shell。访问地址如下。
反弹shell,bp拦截包,发送到repter,修改cmd参数为反弹shell参数(记得url编码),开启nc监听。
因为断开之后,怎么就反弹不会来了,直接上个kali中的大马吧。
提权:
因为不知道密码,可以看看WordPress的配置文件,可以找找可读或者有s权限的文件。先查看一下配置文件。
这个数据库密码强度让我有些起疑,是不是某个用户的密码,试了个遍都不是。那连接数据库看看。数据库没有有用信息。可读文件也没有有价值的,特殊权限的文件也没有可利用的。想来想去,想起之前爆破的密码,会不会那个密码就是切换用户的密码,死马当活马医吧。
果然切换到了stephen下面,既然知道密码,提权就用sudo -l。
没有权限,且用户文件目录下也没有有用信息。接下来又找找带s的文件,可读文件,可执行文件。然而,啥也没有,想来想去,是不是要对ftp下手,ftp扫描的时候,有两个端口开着,一般是连接时,传输数据打开两个端口,会不会需要流量分析?但是只能在对面机器上抓。也没有搜到流量包,该不会真的要抓包吧。我想起msf里面有个嗅探模块,但是想先看看目标机上有没有抓包的工具。使用ps -aux可以发现tcpdump,ps -A也可以(查看进程是想起之前在一本书里面讲到Windows提权,有一次是查看进程,所以就ps一下看看进程,也没有想到会发现tcpdump)。
ifconfig想看网卡,结果没有权限。用tcpdump列出网卡号。
发现eth0,开始抓包。
抓包完成后,下载到本机,使用wireshark分析,这个网口(eth0)啥也没有。那试试一个一个来吧。最后发现用户名和密码。
可以登录ftp了。可以先试试能否直接切换到该用户。
切换成功。
还不是root。使用sudo -l。
发现peter可以执行service命令不需要密码。Service可以直接调用一些命令。直接调用bin/bash试试。
再次提权。权限还是不够。Sudo -l,可以执行root的所有权限。
本来以为成功了,突然发现并不知道密码呀,sudo执行不了啊。看样字要修改root的密码了,也可以修改当前用户密码,然后执行sudo。
现在可以sudo了。
