渗透测试之hacknos-player,459

端口扫描与信息搜集

渗透测试之hacknos-player,459_第1张图片

访问80端口,在index.html页面获得提示,访问g@web目录,获取一个wp站点。

渗透测试之hacknos-player,459_第2张图片

通过wpscan扫描发现一个用户和一个类似密码提示

 

 

嘶,登录不了

渗透测试之hacknos-player,459_第3张图片

 

然后通过wpscan枚举插件,主题,发现存在一个插件:

渗透测试之hacknos-player,459_第4张图片

使用wp的漏洞检测网站查到相关漏洞:https://wpvulndb.com/

渗透测试之hacknos-player,459_第5张图片

还是原创代码执行漏洞,细节信息:https://wpvulndb.com/vulnerabilities/8949

渗透测试之hacknos-player,459_第6张图片

自己构建一个form表单,构造poc:

上传一个冰蝎马:

渗透测试之hacknos-player,459_第7张图片

通过wp-content的列目录漏洞查看到shell位置:

渗透测试之hacknos-player,459_第8张图片

可以看出上传路径是用时间戳加文件名

渗透测试之hacknos-player,459_第9张图片

 

 

 

 

 

 

 

 

 

 

 

成功获取冰蝎shell:

渗透测试之hacknos-player,459_第10张图片

 

www的权限:

渗透测试之hacknos-player,459_第11张图片

 

拿到数据库账号密码,但是navicat连不上,使用adminer连接成功:

渗透测试之hacknos-player,459_第12张图片

 

 

 

 

 

发现冰蝎的shell不是很好用,尝试弹一个msf的shell:

渗透测试之hacknos-player,459_第13张图片

渗透测试之hacknos-player,459_第14张图片

 

 

翻目录的时候发现存在3个用户,使用之前失败的密码登录,最后成功登录security:

渗透测试之hacknos-player,459_第15张图片

渗透测试之hacknos-player,459_第16张图片

 

存在sudo的命令:

渗透测试之hacknos-player,459_第17张图片

使用我提权神站发现sudo下find的提权方式:https://gtfobins.github.io/

渗透测试之hacknos-player,459_第18张图片

这里了解一个之前不了解的知识,因为sudo的配置属于无密码执行,所以可以直接在security用户使用hackNos用户的权限执行sudo命令:

渗透测试之hacknos-player,459_第19张图片

 

之后再次查看sudo,发现可以使用hunter用户权限执行ruby命令,同样是无密码执行:

渗透测试之hacknos-player,459_第20张图片

Sudo下ruby切换shell:

渗透测试之hacknos-player,459_第21张图片

 

查看之前的user.txt文件,是一串md5,john破解失败。还是查看sudo,发现可以执行gcc命令:

渗透测试之hacknos-player,459_第22张图片

利用gcc提权成功。

渗透测试之hacknos-player,459_第23张图片

渗透测试之hacknos-player,459_第24张图片

 

之后修改密码去查看一下sudoers的配置:

渗透测试之hacknos-player,459_第25张图片

你可能感兴趣的:(渗透测试)