Vulnhub吊舱Five86-2详尽分析

访客4年前黑客工具624

喜爱就关心我啊,定阅大量最新动态

VulnHub网站渗透测试实战演练射击场Jarbas 1.0

Jarbas1.0是一个难度系数为初中级的Boot2root/CTF挑戰,试验目地是获得总体目标root shell获得flag。

上篇引路-Vulnhub吊舱Five86-1详尽分析

吊舱详细地址:

技术性点小结

?对WordPress网址的渗入

–wpscan

?WordPress中IEAC软件的RCE漏洞

–WordPress软件IEAC漏洞剖析及组成利用试着

?tcpdump的应用

–tcpdump应用详细说明

总体目标发现

nmap -sP 主要参数应用 ping 扫描仪局域 *** 服务器,目地详细地址为 192.168.56.6

nmap -A 192.168.56.6 -p- 能够见到总体目标服务器的一些信息内容,-A 是开展电脑操作系统指纹识别和版本号检验,-p- 是全端口号

对外开放了 22、21、80 端口号,而且 80 端口号是WordPress 5.1.4的CMS 这儿更好是提早在/etc/hosts中再加上192.168.56.6 five86-2这一条,由于后边浏览wordpress的后台管理wp-admin的时候会自动跳转到这一网站域名

漏洞发现与利用

在searchsploit和Google并沒有发现WordPress 5.1.4的漏洞,可以用wpscan扫描仪一下这一URL。wpscan是一款对于WordPress的扫描枪,详尽的应用能够参照WPScan应用详细攻略大全。

默认设置扫描仪会回到总体目标网站的分布式数据库、XML-RPC、readme文档、提交途径、WP-Corn、版本号、主题风格、全部的软件和备份数据。

命令wpscan -u

这儿并沒有发现很有效的信息内容,考虑到去枚举类型登录名,随后相互配合rockyou.txt去爆破密码。爆破登录名命令wpscan --url --enumerate u,发现了五个客户

peter

admin

barney

gillian

stephen

爆破密码命令wpscan --url -U user.txt -P /usr/share/wordlists/rockyou.txt

最后爆破出去2个結果

Username: barney, Password: spooky1

Username: stephen, Password: apollo1

应用barney登陆后台管理能够见到这一网站安裝了三个软件,可是只激话了一个Insert or Embed Articulate Content into WordPress Trial(IEAC)

Aki *** et Anti-Spam Version 4.1.1

Hello Dolly Version 1.7.1

IEAC Version 4.2995

在Google上搜索一下,不会太难搜到这一软件的RCE:WordPress软件IEAC漏洞剖析及组成利用试着,在exploit-db上也是有

老先生成poc.zip,

echo "hello" > index.html

echo "" > index.php

zip poc.zip index.html index.php

随后登陆wordpress后台管理,挑选新创建文章内容

挑选加上区块链

挑选E-Learning

提交poc.zip

挑选Insert As iFrame

能够见到提交的部位,换句话说之前的shell部位为

检测这就取得了shell

应用php-reverse-shell去反跳shell,浏览

就可以见到反跳的shell,还并不是TTY,下面就想办法变为TTY吧

ls /home发现有八个文件目录,刚爆破来2个密码,一个登录了后台管理,还有一个沒有检测,而且2个都是在这八个客户里边。能够先试一下su barney,密码填spooky1,发现不成功,再试一下stephen,密码apollo1。这儿的shell不清楚为什么没有前边的$了,可是可以用

事实上,这儿的www-data能够立即应用python3 -c 'import pty;pty.spawn("/bin/bash")'变为TTY,那样很有可能更便捷一些

随后再sudo -l发现必须密码,而且并不是spooky1,因此還是su stephen吧,发现stephen在一个名叫pcap的用户群中(pcap并不是流量套餐吗^_^)

随后sudo -l发现没法实行sudo

返回pcap那边,流量套餐是否代表着流量统计,试着ifconfig发现沒有这一命令,可是能够应用ip add,发现现阶段运作着好多个网线端口

这儿的最后一个插口好像是动态性的,每一次都不一样,能够应用tcpdump -D列举可用以抓包软件的插口。这儿挑选把后边2个抓下来,由于不太普遍。抓包软件命令为timeout 120 tcpdump -w 1.pcap -i veth2c37c59,在其中timeout 120就是指2分钟,-w是将結果輸出到文档,-i是特定监视端口号

能够去剖析一下这两个流量套餐,命令tcpdump -r 1.pcap,这儿-r是以给出的流量套餐获取数据,不会太难发现paul客户FTP的密码esomepasswford。后边2.pcap与1.pcap內容同样。

然后su paul,用上边的那一个密码发现能够登录。试着sudo -l发现stephen能够应用peter的service命令

那不就能够立即实行peter的/bin/bash了没有。命令sudo -u peter service /bin/bash。这儿要留意一下文件目录的难题,用相对性文件目录寻找/bin/bash的部位

获得peter的管理权限后,還是先sudo -l,发现他能够运作root客户的passwd命令,这我立即改动root的密码不就获得root管理权限了没有

现在是时候演出真实的技术性了。sudo -u root passwd root(强迫思维,全篇一致),用sudo passwd root一样的

寻找flag

1/21

热烈欢迎文章投稿至电子邮箱:

有才可以的你赶紧来文章投稿吧!

快戳“阅读”做射击场训练

相关文章

广州高端商务

广州高端商务最新行业秘密 哪个靠谱,广州的国航空姐带你学习。广州高端商务由广州模特模特微信群为 行业大佬们 描写 广州高端商务 小明前两天问我商务拍完照来一炮,对于商务拍完照来一炮,其实小编的理解不是...

申请注册商标步骤(注册产品商标流程)

  商标是企业合法维权的“利器”,对于企业而言至关重要。那么,一个商标从前期准备、提交申请到最后成功注册,都需要哪些流程呢?今天我们就来了解一下商标注册的流程,看看拿下商标需要多久。   商标注册需要...

福建长乐:数字化赋能 纺织业蝶变

原标题:数字化赋能纺织业蝶变 10月12日,第三届数字中国建设峰会将拉开帷幕。作为峰会主办地,福建近年来大力推进数字化进程,而福州市长乐区则是其中的典型代表。 步入长乐的长源纺织公司车间,...

商业价值杂志(商业价值分析)

商业价值杂志(商业价值分析) 盘点《商业价值》2014那些封面 你最喜欢哪篇文章? 商业价值/ 2014年12月31日 浓缩观百思特网点 又到年末盘点时。 《商业价值》出版人兼主编刘湘明...

云南省高院:汲取孙小法拉利果案教训 对大要案和重大

  中新网昆明1月28日电 (记者 胡远航)云南省高级人民法院院长侯建军28日在云南省十三届人大四次会议上作云南高院工作报告时表示,过去一年,云南全省法院深入开展汲取孙小果案深刻教训警示教育,对云南省...

Excel如何计算协方差矩阵,Excel计算协方差矩阵方法

近日有一些小伙伴们资询我有关Excel如何计算协方差矩阵呢?下边就为大伙儿产生了Excel测算协方差矩阵方式 ,有必须的小伙伴们能够 来掌握掌握哦。       近日有一些小伙伴们资询我有关Excel...