启程:
欧克,很熟悉啊这个画面,又是只有一个端口开放,不过这次社区评价为中级,比那个要高一个段位
有了上次的经验,这回直接上字典,不过只爆出来一个wordpress,这思路不是一下子就有了,估计是wordpress攻击,然后访问这个目录发现有个登录的地方,点击log in进入一个带域名的网站,直接访问是访问不到的
所以这时我们需要先将目的ip和目的域名绑定一下,让域名可以指定到这个目的IP上
这时再访问发现就可以访问到了,果然是一个wordpress登录界面,经典太经典了,如果你看了我之前打的靶场你一定知道该怎么做了
没错我们先爆破用户名,再用爆破到的用户名去爆破密码,这里直接复制粘贴我上一回靶机的命令,也是很顺利的爆出用户名和密码,不过这回最好的点是没有上回那么多用户名,爆破时间一下子短了很多
wpscan --url http://loly.lc/wordpress/ --usernames name.txt --passwords /usr/share/wordlists/rockyou.txt --password-attack xmlrpc
然后我们登录这个wordpress,看了一下用户,果然只有一个用户而且我们这个用户也是理所当然的为管理员账户
不过这回我们发现原先我们通过插入php代码的操作这里好像不行,但是wpscan告诉我们adrotate是个版本落后的插件,那么经过我的略微小查,发现这个插件可以将上传的zip文件自动解压缩,并保存到banners目录下,欧克那么思路就是上传一个php马子的压缩包,然后去这个banners目录访问一下,弹shell
这里我们再这个地方上传一个cmd执行的php文件,试试水
然后访问到这个目录下,果然可以执行命令,那么没问题入口就是通过这个方法打点
然后我们还是去这个目录下面,将反弹马子的shell修改一下ip地址
然后通过zip命令压缩一下php文件,直接上传,访问后发现是403界面
不过不要紧,我们这里的监听端口成功收到反弹的shell,然后这回python3可以使用了,那么直接升级一下交互的shell,这样看起来也顺眼一些
然后我们到loly底下找一下local.txt文件,没找到,后来用了一下find命令发现在www底下,也是我们目前的用户为www-data,这里也是打点成功
find / -name local.txt 2>&1 | grep -v "Permission denied"
那么接下熟悉的我的bro都知道,该上传linpeas了,linpeas跑完之后然后这里看一下我们可以用的命令
然后linpeas可能有一些信息跑不出来,所以这里我们使用一下这条命令看看有没有可以写的可执行文件,然后没啥发现,那么就继续返回去看linpeas的执行结果
linpeas给爆出了一个密码,那么肯定要试试能不能转移用户,至于为什么因为我们还有一个loly用户没用到,也是前面靶场给的思路,大家一定要仔细看看我的靶场记录,因为我现在只会对一些没讲的地方着重讲,至于见过的都不会再提了
然后我们直接尝试登录一下,果然拿到了loly的权限
然后以loly的权限跑一下linpeas看看有没有额外的发现,这里跑完发现还是只有内核标红了,那不就是内核提权吗,然后这里我犯了个啥跳过第一个漏洞,直接找脏牛提权去了,结果提不成功还把靶机环境弄崩了好几次,所以又涨了一个见识linpeas是按成功率从上往下排漏洞的,而且脏牛能不用就不要用对环境破坏有点大
这里也是直接通过给出的网址,下载了45010.c,然后我们同时上传到目标机的tmp目录下,再用gcc编译一下,再给个权,直接执行我们就可以发现提权了
gcc -pthread 45010.c -o exploit
这里通过id查看,果然我们当前的权限就是root,无需多言伟大的linpeas
结语:
不难,尤其是这个靶机简直就是前面那几个靶机的综合体,之前踩过的坑肯定踩不了了,所以这个靶机打的特别顺利以至于没有前面脏牛的耗时间的话可能这个靶机连两个小时都用不了,所以兄弟们,打靶机一定要多动脑,原先卡过你的地方一定要多记住一下,这样你才能慢慢进步,okay兄弟们下台靶机见