Vulnhub_Red:1

Posted 2023-02-22 NowSec

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了Vulnhub_Red:1相关的知识，希望对你有一定的参考价值。

本文内容涉及程序/技术原理可能带有攻击性，仅用于安全研究和教学使用，务必在模拟环境下进行实验，请勿将其用于其他用途。
因此造成的后果自行承担，如有违反国家法律则自行承担全部法律责任，与作者及分享者无关

主机信息

kali：192.168.31.9
napping：192.168.31.92

信息收集

使用Nmap探测目标主机发现开放22、80两个端口

nmap -A -p- 192.168.31.90

从扫描结果中看到有一个robots.txt文件和一个wp-admin的目录

访问wp-admin时发现跳转到了域名

在hosts文件中写入记录

再次访问可以正常打开

查看网站首页显示网站被黑了

通过wpscan枚举用户获得一个用户名administrator

使用dirb扫描网站目录发现了robots.txt

dirb http://192.168.31.92/

查看页面内容，并没有提供有价值的线索

继续查看网站首页看到提示“网站被黑了，你永远找不到后门”
我们尝试使用SecLists中的CommonBackdoors-php.fuzz.txt扫描发现存在一个后门文件状态码为500

dirbdirb http://192.168.31.92/ CommonBackdoors-PHP.fuzz.txt

GETSHELL

然后我们通过fuzz获得后门的参数是key

wfuzz -u "http://192.168.31.92/NetworkFileManagerPHP.php?FUZZ=/etc/passwd" -w fuzz-lfi-params-list.txt --hw 0

浏览器访问获得数据

然后我们包含当前的后门文件查看一下源码

解码后有一行提示说那些密码不能帮助我们，hashcat说规则就是规则

然后我们尝试包含一下wordpress的配置文件wp-config.php

解码后获得数据库的用户名和密码

define( 'DB_NAME', 'wordpress' );
define( 'DB_USER', 'john' );
define( 'DB_PASSWORD', 'R3v_m4lwh3r3_k1nG!!' );

对比/etc/passwd文件发现有一个用户和数据库用户名一样

根据后门文件中的提示，尝试登录了一下果然登录失败

首先将或的数据库密码写入文件

然后利用hashcat的规则生成一个密码文件

hashcat --stdout passwd -r /usr/share/hashcat/rules/best64.rule > passlist.txt

然后通过爆破得到密码

hydra -l john -P passlist.txt ssh://192.168.31.92

使用密码登录john的账户

提权

查询具有SUID权限的命令，发现有一个pkexec

过了发现ssh会话超时后密码也会随之失效

重新爆破得到密码

重新连接后先反弹一个shell到本机

查看john家目录下的文件，发现cat命令会被重定向到vi

查看发现有一个time命令是ippsec用户的权限

然后使用time提权的ippsec

查看家目录下文件，cat依旧被重定向到vi

最开始我们检查时发现存在pkexec命令，然后使用CVE-2021-4034进行提权

首先将EXP下载到目标靶机

使用gcc编译exp

执行EXP获得root权限

提权到root后，仍无法使用cat命令，所以使用python开启一个http服务，通过web读取flag