首页
社区
课程
招聘
[原创]Vulnhub靶机Moee的Walkthough(含linux下的ROP pwn)
发表于: 2020-12-18 20:35 1069

[原创]Vulnhub靶机Moee的Walkthough(含linux下的ROP pwn)

2020-12-18 20:35
1069

    Moee的下载地址是https://www.vulnhub.com/entry/moee-1,608/,难度评级是insane。

    VirutalBox导入靶机,运行后扫描端口,开了22和80。

    图片.png


    直接输入IP地址访问出错,将/etc/hosts加上moee后,可以正常访问,是一个wordpress网站。接下来用wpscan扫描:

    扫描后发现了几个用户,以及一个可能的漏洞。

    图片.png


    测试了一下那个漏洞,没有成功。于是考虑使用用户名进行一轮爆破。将刚才扫描到的用户名保存到names.txt,使用hydra进行爆破。

 


    等待几分钟以后得到其中一个用户名和密码(估计也没有别的弱密码了)。

    图片.png


    登录后发现是普通用户,并没有修改模板的权限,但是有个评论提到wpdiscuz插件,应该还是要利用刚才有漏洞的插件(刚才扫描出来的漏洞是在这里用的)。网上可以搜到利用的参考文件:http://www.mannulinux.org/2020/07/file-upload-vulnerability-wpDiscuz.html。这里,可以利用插件漏洞上传包含有一句话的图片木马。

    图片.png

   

   

    直接访问图片木马文件,然后传入参数测试一下,确实可以执行。

   图片.png


    接下来,在命令参数处传入著名的python反弹shell代码:

    这时就可以得到反弹的shell了。接下来可以在wp-config.php里找到mysql的用户名和密码,但之前参考的文章说这是个rabbit hole,我就不在这里浪费时间了。其实,有用的信息在/var/www/public_html/wp-includes/wp-db.php中(挺坑人的)。

    图片.png

    用这个用户名和密码登录mysql。然后又得到了几个用户名和密码。

    图片.png

    其中,Snork的密码是一个链接,打开后可以得到一个字典。


  图片.png



    将文件下载到本地,用下面的命令将空格和邮件去除,只剩下第一列的密码。


    之前我们已经从wordpress中生成了用户名词典,这里又得到了一个密码字典。下面直接试一下ssh的爆破。

    图片.png


    ssh成功登录,接下来需要考虑怎么提权了。Joxter不能执行sudo,看来还得找找其它的隐藏信息。用下面的命令找一找哪些是Joxter的可写文件:

    最后一行的文件有点意思,是一个脚本文件。

    图片.png

    文件信息显示这个文件的所有者是Boe,但组是devsec,而我们的Joxter用户也是这个组的,所以我们可以往文件里加代码。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-12-19 09:19 被WindyMan编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 14735
活跃值: (17849)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2020-12-18 22:02
0
游客
登录 | 注册 方可回帖
返回
// // 统计代码