2023年7月23日发(作者：)

Five86-2靶机渗透实战-vuluhub系列（七）这是vulnhub靶机系列⽂章的第七篇，本次主要知识点为：wordpress后台插件getshell，tcpdump抓取ftp流量，sudo滥⽤之service、passwd提权，话不多说，直接开始吧...

原⽂链接：#001 环境搭建（nat）攻击机kali：192.168.136.129靶机Dusk：192.168.136.142

#002 实战writeup寻找靶机ip，发现靶机ip为192.168.136.145netdiscover -i eth0

查看端⼝和服务开放情况，发现开放了21和80nmap -sV -T4 192.168.136.145

⾸先访问⼀下http服务80端⼝，看到是wordpress的站

但是点击其他链接的时候，会跳转到⼀个域名，但是⽆法访问，应该是要设置本地的hosts⽂件，加上192.168.136.145 five86-2 即可，kali修改/etc/hosts⽂件即可

#003 wpscan助⼒Wordpress的站点，没什么好想的，先⽤wpscan扫⼀下，可以看到这⾥枚举出5个⽤户wpscan --url 192.168.136.145/ -e

有了⽤户名尝试爆破后台登陆，再进⾏进⼀步利⽤，跑出两个wpscan --url 192.168.136.145/ -e u -P /usr/share/wordlists/ 然后⽤账号密码登陆后台，发现有三个插件，接着就搜索插件存在的漏洞即可

#004 插件漏洞利⽤来看下poc作者的利⽤⽅法

1、⾸先制作⼀个⾥⾯有和⽂件

2、添加新的插件

选择e-learning

选择刚才制作好的zip⽂件，点击upload

然后选择iFrame，然后点击insert

然后访问路径，成功getshell

#005 提权⾸先执⾏反弹shell，新建⼀个php反弹shell的脚本

然后利⽤虚拟终端执⾏，然后kali开启监听即可收到shell

然后利⽤python⼀句话转换终端，但是⼀开始不成功，后⾯把python换成python3即可

#006 复杂的提权操作⼀、揪出paul⽤户因为www-data权限太低了，所以打算su到其他⽤户，尝试刚才爆破出来的两个⽤户，barney⽤户密码不对 尝试stephen⽤户，成功登陆到stephen⽤户

因为暂时没有其他提权⽅法，所以，先利⽤ps -aux查看全部进程，发现⼀开始扫描出来的ftp服务是paul这个⽤户启动的

因为ftp是明⽂传输的，所以可以利⽤tcpdump导出流量tcpdump的具体参数⽤法：-D #列出可⽤于抓包的接⼝。将会列出接⼝的数值编号和接⼝名-i #interface：指定tcpdump需要监听的接⼝。默认会抓取第⼀个⽹络接⼝-w #将抓包数据输出到⽂件中⽽不是标准输出，可以指定⽂件名-r #从指定的数据包⽂件中读取数据。使⽤"-"表⽰从标准输⼊中读取

1、 ⾸先查看可抓取的接⼝tcpdump -D

2、 抓取流量，-w指定⽂件名为pdump -i br-eca3858d86bf -w 但是当前⽬录显⽰没权限，所以我们cd ~ 进⼊到当前⽤户的主⽬录，我们这⾥要加上timeout 60

也就是超时时间为60秒，否则会⼀直抓

3、 读取⽂件内容，将读取到的内容复制下来，记事本打开，搜索PASS的字样，成功抓取到paul⽤户的密码tcpdump -r 然后su paul切换到paul⽤户

⼆、sudo滥⽤之service提权sudo -l 查看到⼜蹦出来个peter⽤户，且不需要密码就可以操作service命令

直接切换到peter⽤户的shellsudo -u peter service ../../bin/sh

再次sudo -l，发现竟然可以⽤passwd命令，ok直接改掉root密码，完事~

sudo passwd root成功改了root的密码为root

直接su root，切换到root⽤户即可

最后进⼊到root⽬录，成功读取到flag

#007 总结归纳Wpscan的使⽤，爆破wp后台密码，枚举⽤户等Exploit-db的使⽤，通过wp已经安装的插件寻找漏洞进⾏getshellPhp⼀句话反弹shell的利⽤Tcpdump的使⽤，抓取ftp的tcp流量，成功抓取密码Sudo滥⽤之service提权，passwd命令修改root密码