Vulny
项目地址:https://downloads.hackmyvm.eu/vulny.zip
是一个打包好的镜像文件
注意:导入 ova 时一定要选择我已移动,否则没网
使用 Nmap 扫描出开放服务及操作系统版本
RCE
WP-file-manager v6.9(CVE-2020-25213)
只开放了 80 端口,扫下后台
有个 /secret 目录,继续扫描发现有安装 Wordpress
安装了一个插件是 wp-file-manager
搜索插件找到一个 RCE 漏洞
运行脚本
查看源码可以看到其上传的脚本密码以及名称
网上搜索漏洞相关信息找到路径 /wp-content/plugins/wp-file-manager/lib/files/shell.php?cmd=
开启 HTTP 服务让其下载 PHP 反弹 Shell,然后运行
拿到 Shell
提权
Python 升级为交互式 Shell
敏感信息泄露
得到一组假密码,但是给出了一个路径
进入路径中,这是 Wordpress 源码所在位置
查看数据库配置文件,找到一个注释
查看家目录,推测这是该用户的密码
登录成功
/etc/sudoers 配置不当
查看自身权限
flock 提权
flock 是 Linux 自带的文件锁工具
-u:释放文件锁/:锁操作的目标文件(这里选根目录,因为它永远存在)/bin/sh:flock 要执行的子命令
1 | HMViuploadfiles |