VulnHub-Web Developer: 1-靶机渗透学习 – 作者:DXR嗯嗯呐

靶机地址:https://www.vulnhub.com/entry/web-developer-1,288/

靶机难度:初级(CTF)

靶机发布日期:2018年11月5日

靶机描述:

Zico试图建立自己的网站,但在选择要使用的CMS时遇到了一些麻烦。在尝试了一些受欢迎的方法后,他决定建立自己的方法。那是个好主意吗?

提示:枚举,枚举和枚举!

目标:得到root权限&找到flag.txt

作者:DXR嗯嗯呐

信息收集

nmap扫描靶机IP

1611128228_6007dda4c802a5f34e743.png!small?1611128228478

nmap扫描靶机端口

1611128237_6007ddadc3e4a8a534a62.png!small?1611128237482

22  ssh

80  http

访问80端口

1611128243_6007ddb34e25e3abea74e.png!small?1611128242465

没有什么信息,直接dirb爆破目录

1611128247_6007ddb7a9230546a64c4.png!small?1611128247222

访问http://192.168.16.149/ipdata/ ,发现一个流量包

1611128252_6007ddbcdf1c111f9e8e8.png!small?1611128252151

使用wireshark打开看看

1611128258_6007ddc24aa834ddacd32.png!small?1611128260222

在数据包中找到wordpress账号密码

1611128263_6007ddc7c7a04d78aa1dc.png!small?1611128264895

webdeveloper\Te5eQg&4sBS!Yr$)wf%(DcAd

登陆成功

1611128269_6007ddcd634b1c98c1723.png!small?1611128269908

找一下注入点,在plugns模块中直接修改hello.php,上传反弹shell

1611128274_6007ddd250bca8c756a4c.png!small?1611128274475

1611128329_6007de09f38566059c95c.png!small?1611128329177

在plugns模块中激活,获得shell

1611128336_6007de106f6d617cf80ef.png!small?1611128336394

提权

不允许tty和sudo

1611128345_6007de1930016c9078ded.png!small?1611128344886

进入/var/www/html/目录看到了一个wp-config.php文件,看一下获得了数据库的登陆信息

1611128362_6007de2a7e9330d6b6d71.png!small?1611128361670

我们检查是发现home存在webdeveloper用户,我们试着登陆成功

1611128406_6007de561920c3743d6d0.png!small?1611128405563

webdeveloper\MasterOfTheUniverse

检查看到用户具备sudo权限

1611128411_6007de5b10024c9162e37.png!small?1611128410419

使用tcpdump命令,给find程序赋SID权限

echo “chmod u+s /usr/bin/find”> shell.sh

chmod +x shell.sh

sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root

1611128428_6007de6c11c7b2178892a.png!small?1611128427760

利用find命令获得root权限的交互shell,获得flag

find . -exec /bin/sh -p \; -quit

1611128434_6007de72848958fe09a42.png!small?1611128433650

完成!!!

总结

1、使用nmap扫描靶机端口和IP,使用dirb爆破80端口,在iptables目录下,发现流量包,在流量包中找到wordpress账号密码。

2、登陆wordpress,找个很多注入点,直接将反弹shell写入,获得shell。

3、在config文件中找到webdeveloper用户的密码,ssh登陆,检查发现tcpdump命令具备sudo权限,使用tcpdump给find赋SID权限,使用find命令获得root权限shell。

来源:freebuf.com 2021-01-20 15:51:28 by: DXR嗯嗯呐

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论