[Vulnhub]渗透-Stapler

0x01 Host Information Collection

可疑主机如上图,本来netdiscover没结果,后面发现虽然netdiscover显示Scan Finished,但是还在探测,出了结果。

接下来nmap详细地扫一下:

服务确实开了不少,包括vsFTPd、ssh、apache、mysql等,注意看一下这里:

允许匿名登陆。

0x02 FTP Information Collection

有一个note,大概就是John让Elly更新完payload信息后留在他的FTP账号里面,这里我们获得了两个username,还是先看下web吧。

0x03 WordPress Getshell

得到一个用户Zoe,用dirb扫目录同时nikto进行WEB探测。

dirb无结果。

nikto探测到了https服务以及两个目录还有phpmyadmin,http访问的时候还是默认界面,但是https可以正常访问。

/admin112233
/blogblog

dirb扫一下。

是个wordpress,wpscan安排

wpscan --url https://192.168.0.105:12380/blogblog/ --disable-tls-checks

要关闭tls-checks,不然会报错。

看到有目录遍历:

不知道为什么我的wpscan扫不出来这个东西…

看样子第一个可用的,是一个LFI。

脚本跑不起来,我直接打印出来了payload,自己访问一下。

https://192.168.0.105:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=51899201316560264&short=rnd&term=rnd&thumb=../wp-config.php

得到mysql的root权限,本来想直接导出一句话,但是并不知道路径,所以考虑爆一下wp的用户密码。

john跑:

找到一个高权用户John

拿shell:

emmm写完才发现没有保存按钮…拿shell的方式还是很多的。

直接传php,虽然让输入FTP账号密码,我就直接Proceed,看一下:

上传成功了,AntSword连接的时候注意忽略HTTPS证书。

0x04 Kernel Privilege Escalation

39772,可以用nc弹个交互shell回来比较好操作。

0x04 Apache Privilege Escalation

之前进行信息收集的时候注意到Apache版本可能存在本地提权漏洞。

Leave a Reply

Your email address will not be published. Required fields are marked *

three × one =