Five86-2靶机渗透实战-vuluhub系列(七)

这是vulnhub靶机系列文章的第七篇，本次主要知识点为：wordpress后台插件getshell，tcpdump抓取ftp流量，sudo滥用之service、passwd提权，话不多说，直接开始吧...

靶机下载地址：https://www.vulnhub.com/entry/five86-2,418/

#001 环境搭建（nat）

攻击机kali：192.168.136.129

靶机Dusk：192.168.136.142

#002 实战writeup

寻找靶机ip，发现靶机ip为192.168.136.145

netdiscover -i eth0

查看端口和服务开放情况，发现开放了21和80

nmap -sV -T4 192.168.136.145

首先访问一下http服务80端口，看到是wordpress的站

但是点击其他链接的时候，会跳转到一个域名，但是无法访问，应该是要设置本地的hosts文件，加上192.168.136.145 five86-2 即可，kali修改/etc/hosts文件即可

#003 wpscan助力

Wordpress的站点，没什么好想的，先用wpscan扫一下，可以看到这里枚举出5个用户

wpscan --url http://192.168.136.145/ -e

有了用户名尝试爆破后台登陆，再进行进一步利用，跑出两个

wpscan --url http://192.168.136.145/ -e u -P /usr/share/wordlists/rockyou.txt

然后用账号密码登陆后台，发现有三个插件，接着就搜索插件存在的漏洞即可

利用exploit-db搜索发现Insert or Embed Articulate Content into WordPress Trial，这个插件有漏洞，https://www.exploit-db.com/exploits/46981

#004 插件漏洞利用

来看下poc作者的利用方法

1、首先制作一个poc.zip里面有index.html和index.php文件

2、添加新的插件

选择e-learning

选择刚才制作好的zip文件，点击upload

然后选择iFrame，然后点击insert

然后访问路径，成功getshell

#005 提权

首先执行反弹shell，新建一个php反弹shell的脚本

然后利用虚拟终端执行panda.php，然后kali开启监听即可收到shell

然后利用python一句话转换终端，但是一开始不成功，后面把python换成python3即可

#006 复杂的提权操作

一、揪出paul用户

因为www-data权限太低了，所以打算su到其他用户，尝试刚才爆破出来的两个用户，barney用户密码不对

尝试stephen用户，成功登陆到stephen用户

因为暂时没有其他提权方法，所以，先利用ps -aux查看全部进程，发现一开始扫描出来的ftp服务是paul这个用户启动的

因为ftp是明文传输的，所以可以利用tcpdump导出流量
tcpdump的具体参数用法：

-D    #列出可用于抓包的接口。将会列出接口的数值编号和接口名
-i      #interface：指定tcpdump需要监听的接口。默认会抓取第一个网络接口
-w    #将抓包数据输出到文件中而不是标准输出，可以指定文件名
-r    #从指定的数据包文件中读取数据。使用"-"表示从标准输入中读取

1、首先查看可抓取的接口