Stapler 1
下载地址:
https://download.vulnhub.com/stapler/Stapler.zip实战操作
需要使用virtualbox导入虚拟机,用VMware打开要设置很多东西,太复杂了。
靶机IP地址:192.168.0.25。
扫描靶机端口开放端口。
┌──(root💀kali)-[~/Desktop]
└─# nmap -sT -sV -A -O -p 1-65535 192.168.0.25
Starting Nmap 7.92 ( https://nmap.org ) at 2021-12-27 09:01 EST
Nmap scan report for 192.168.0.25
Host is up (0.00088s latency).
Not shown: 65523 filtered tcp ports (no-response)
PORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp vsftpd 2.0.8 or later
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_Can't get directory listing: PASV failed: 550 Permission denied.
| ftp-syst:
| STAT:
| FTP server status:
| Connected to 192.168.0.26
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 1
| vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 81:21:ce:a1:1a:05:b1:69:4f:4d:ed:80:28:e8:99:05 (RSA)
| 256 5b:a5:bb:67:91:1a:51:c2:d3:21:da:c0:ca:f0:db:9e (ECDSA)
|_ 256 6d:01:b7:73:ac:b0:93:6f:fa:b9:89:e6:ae:3c:ab:d3 (ED25519)
53/tcp open domain dnsmasq 2.75
| dns-nsid:
|_ bind.version: dnsmasq-2.75
80/tcp open http PHP cli server 5.5 or later
|_http-title: 404 Not Found
123/tcp closed ntp
137/tcp closed netbios-ns
138/tcp closed netbios-dgm
139/tcp open netbios-ssn Samba smbd 4.3.9-Ubuntu (workgroup: WORKGROUP)
666/tcp open doom?
3306/tcp open mysql MySQL 5.7.12-0ubuntu1
| mysql-info:
| Protocol: 10
| Version: 5.7.12-0ubuntu1
| Thread ID: 93
| Capabilities flags: 63487
| Some Capabilities: Support41Auth, Speaks41ProtocolOld, ODBCClient, SupportsTransactions, LongPassword, IgnoreSigpipes, ConnectWithDatabase, IgnoreSpaceBeforeParenthesis, FoundRows, SupportsLoadDataLocal, DontAllowDatabaseTableColumn, InteractiveClient, Speaks41ProtocolNew, SupportsCompression, LongColumnFlag, SupportsMultipleStatments, SupportsAuthPlugins, SupportsMultipleResults
| Status: Autocommit
| Salt: \x13u\x1Epo`\x05\x12p\x17p.\x1Ea\x1Bc\x08\x7Fq:
|_ Auth Plugin Name: mysql_native_password
12380/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Tim, we need to-do better next year for Initech
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 154.34 seconds
端口扫描知道FTP可以匿名登录,测试一下。
获取到三个信息:1、用户名Harry;2、匿名登录FTP没有写入权限;3、有一个笔记文本,获取用户名Elly和John。
枚举smb用户
提取用户名
使用hydra暴力破解工具进行字典爆破。获取到SHayslett/SHayslett;elly/ylle。
顺便爆破一下SSH服务。找到SHayslett/SHayslett。
扫描80端口
80端口WEB目录爆破。
打开浏览器访问WEB服务,但是没有看到什么有用的信息。
nc访问666端口,会看到有jpg字符串出现,说明访问这个端口会下载一个文件,使用nc下载文件。
查看图片文件是否有隐藏信息。
访问12380端口
扫描12380端口的http服务
nikto在robots.txt找到两个路径:/admin112233/和/blogblog/。http直接访问是没有任何反应的,nikto扫描到有SSL证书,所以需要使用HTTPS协议。
这个博客系统是wordpress,扫描一下相关的路径。wpscna需要官网申请APIKEY。
搜索video插件漏洞利用脚本。
修改一下EXP脚本
查看wordpress配置文件
找到MySQL账号密码:root/plbkac。MySQL登录
获取wordpress数据库的用户名和密码。
整理成哈希文本
密码爆破列表如下
使用john/incorrect登录wordpress管理后台,上传PHP反弹SHELL。
访问上传文件目录(https://192.168.0.25:12380/blogblog/wp-content/uploads/),就可以找到反弹shell。
nc反弹,查看内核版本为4.4.0-21和系统为Ubuntu 16.04 32位。
查找一下靶机的本地提权exp。40049.c是针对于64位系统
找到39772.txt
下载提权exp(https://github.com/offensive-security/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip)
解压压缩包,部署http,让靶机下载EXP。
靶机下载EXP。
靶机提权
第二种提权方式,查看各个用户命令历史
找到两个SSH用户
使用peter用户进行登录,直接su root即可。
第三种提权方法
写入定时计划反弹shell
最后更新于
这有帮助吗?